új A vállalatvezetők a megfelelést szolgáló erőforrásokat TOR 10 Az asztali virtualizáció az elmúlt pár évben rengeteget 445 
a legnagyobb kockázatnak kitett kontrollcélokra cso- ! Í fejlődött. De vajon lehet-e, és ha igen, milyen irányba 
portosítják át. érdemes tökéletesíteni? 
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CÖMPÜTERWORI 
ÁnaliZIS 


Az IT-szektorban különösen fontos szerepet játszik a folyarma- 
tos és megbízható minőségellenőrzés. Azok a gyártók, ame- 
lyek reménybeli üzletteleik és a szakmai és ellenőrző SZer- 
vezetek bizalmát is szeretnék kivívni, Magyarországon 

is egyre nagyobb számban veszik igénybe a függet- 

len minőség-ellenőrző szervezetek szolgáltatásait. 


Összeállításunk a 9-11. oldalon 


151006 10020 


770587 


COMPUTERWORLD" 
KONFERENCIA 


2010. május 27. 
Helyszín: Corner Rendezvényközpont 
(1051 Bajcsy-zsilinszky út 12.) 


Térfigyelő rendszerekkel a biztonságért 


A konferencia tervezett témái 

a Látni és láttatni: biztonsági kockázatok, amelyek IP-kamerarendszerekkel kivédhetők 

a IP-kamerák: hova és hogyan? Telepítési problémák és a megoldás 

a Mindenkinek é18eke a PiZRÁSBE, JANG AKA rehetőségek HMEGHGYElŐEÉRES ZET kiépítésére 


sz 


a Megfigyelés csak jogszerűen! A megfigyelőrendszerek üzemeltetésének jogi háttere. Adatvédelem és adatbiztonság 


A konferencia végén egy D-Link DNS-323 hálózati adattárolót sorsolunk ki a résztvevők között! 


Szakmai védnök Partnerek 1 Médiatámogatók 


er eglta ) E . "V L ; zs: PI 
OS DILíink sLNevo Keen, Egaspectis Frirásontár E GYÁRTÁSTREND BIPC WORLD 


DC: s DOCUMENT . SZERINTE 
MANAGEMENT SOLUTIONS 2010 


b ! 1. 
3 Budapest, 2010. május 26. 


A rendezvény célja a naplózás témakörének az átfogó bemutatása elméleti 
ismeretek és gyakorlati tapasztalatok alapján. A tréning hasznos útmutató a naplózó 
rendszereket már használó, vagy azt bevezetni készülő szervezetek számára. 


Az IDC dokumentumkezelési és nyomtatásfelügyeleti megoldásokkal foglalkozó 
2010-es konferenciasorozata többféle nézőpontból is megvizsgálja nyomtatási 


3 is ; sú és dokumentumkezelési folyamatokat. Az ötlet és a tapasztalatcsere elismert 
A tréningen bemutatásra kerülnek: szakmai fórumakénrt lehetőséget teremt a független szakértők, elemzők, a 
az ágazati jogszabályok " a naplózás tartalmi kérdései nyomtatási szektor vezető szereplői és a nyomtatási megoldások felhasználói 
egy tipikus nagyvállalatirendszer .  " a szabványok és ,jógyakorlatok" számára a bevált gyakorlat megvitatására. 
architektúrája : . naplóinformációk felhasználásának ] kin e ; Hi JEEZ 
loggyűjtési, archiválási és elemzési módja az incidenskezelési és égáatleeln párzás eve prlabtásáá izplmátkotlk 
ősé írósági eliárá á I " A nyomtatás és képalkotás kihívásainak áttekintése 

jehetőségek viróságkeljárésák során . menedzselt nyomtatási szolgáltatások (MPS) 


e MPS az IT-irányítás és -outsourcing kontextusában 
Média partnereink: e Menedzselt dokumentumkezelési szolgáltatások és outsourcing 
, A dokumentumkezelés és a nyomtatásfelügyelet bevált gyakorlata 


Várjuk jelentkezését, vegyen részt Ön is az IDC új tréningjén! 


További információk és részletes program: www.idchungary.hu 


Amennyiben kérdése van Logelemzési tréningünkkel kapcsolatban, úgy kérjük Arany fokozatú partnerünk: Média partnereink: 
keresse Üveges Szabolcsot, telefon: 00 36 1 473 2375, email: suvegesgidc.com 
her 


leti fayéS 


TARTALOM 


naaT€T€K€ŐŰ7Ta E 
MICROSOFT-KONFERENCIA 
ITM - Innováció, techno- 
lógia, módszertan 


MEGJELENT A MICROSOFT 
OFFICE 2010 


A BIZTONSÁG SZEME 

Térfigyelő rendszerek- 
kel a biztonságért Computerworld- 
konferencia 


ITTHON MÉG KEVÉSSÉ — 
NÉPSZERŰ A KISZERVEZÉS 


GOOGLE-VERIZON: IPAD- 
KONKURENST AKARNAK 


A SPRINT , DOBJA" 
A GO0OGLE TELEFONT 


ÚJABB NOKIA-APPLE 
SZABADALMI VITA 


MEGVESZI A SYBASE-T 
AZ SAP 


ANALÍZIS ÉS INTEGRÁCIÓ 

A minőségbiztosítás célja, 
hogy az elvárásoknak megfelelő, 
kiegyensúlyozott, állandó minőségű 
termékek, szolgáltatások jelenhesse- 
nek meg a piacon. Ez a vevőnek és az 
eladónak egyaránt előnyére szolgál. 


NEMZETKÖZI, UNIÓS ÉS 
HAZAI SZABVÁNYOK 


Jobn Lilly, aki 2008 óta vezette a nonprofit szervezetet, azonnal elhagyja 


KEKE ÜZLET ENNE 
12 VÉDEKEZÉSAVISSZA- 
ELÉSEK ELLEN 

A Gartner szerint a GRC 
— az irányítás, kockázatkezelés és 
törvényi megfelelés — támogatá- 
sára szolgáló megoldások kategó- 
riájában a kontrollok folyamatos 
monitorozását megvalósító CCM- 
eszközök feljövőben lévő technoló- 
giát képviselnek. 

14. ASZOLGÁLTATÓ ÉRDEK. 
KÉPVISELET 

Interjú Laufer Tamással, 
az IVSZ új elnökével terveiről, az 


IVSZ jövőbeni szerepéről. 

15  AKÁRTYAJÁTÉK VESZÉLYEI 
Hazánkban különösen 

háttérbe szorul a gyártók kö- 

rében amúgy sokat emlegetett 

PCI-DSS szabvány, amely 

a bankkártyaadatok biztonságát 

hivatott szolgálni. 


NI TECHNOLÓGIA II 

18 VIRTUALIZÁLT ASZTAL 
VMware 7 és VirtualBox 

3.1: megnéztük, hogy a legismer- 


tebb szoftver hogyan vizsgázik 
a legolcsóbbhoz képest. 


17 
18 


19 


VMWARE ESXI 


VÍRUSTESZT 
Távol a toplisták élétől 


HAZRI PIAC 


KI HORIZONT KEN 


99 HACKEREK HÉTKÖZNAPJAI 
A valódi hackerek közül 

néhányan vállalták, hogy felfedik 

titkaikat, és megosztják velem 

a véleményüket — természetesen 

anonim módon. 


II ÁLLANDÓ 
ROVATAINIK [EN 


04 VÉLEMÉNY 

Drajkó László: Informati- 
ka a gazdaságért — Az utóbbi időben 
számos fórum foglalkozott azzal, 
hogy az II-ágazat mennyiben tudja 
segíteni a nemzetgazdaság fejlődését. 


05 ESEMÉNYEK 
05  szEMÉLYI HÍREK 
OB HÍRMOZAIK 


Analízis a 


95 
et 
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Egy időben a Microsoft Office 2010 bejelentésével, megjelent az irodai csomag 
mobilváltozata is, amelyre a Windows Mobile 6.5 tulajdonosai ingyen frissíthetnek 


5 computerworld.hu/cikk/officemobile-ingyen 


a Firefoxot fejlesztő Mozillát, amint megoldottá válik a helyettesítése. 


Agyafúrt kínai kereskedők hasznot húznak a régóta 
ismert, gyenge Wi-Fi titkosításából. Hálózatfeltörő 
kulcsokat adnak el a felhasználóknak. 

5 computerworld.hu/cikk/hivatasos-wifilopok 


, computerworld.hu/cikkzlilly-kilep 


Az MTIelekom EBITDA-ja 10,790-kal, 57,7 milliárd 

forintra, bevételei pedig 7,590-kal, 1474 milliárd 

forintra mérséklődtek 2010 első három hónapjában. 
5 computerworld.hu/cikk/mtelekom-2010g1 
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Szerkesztőségünk a kéziratokat lehetőségei szerint gondozza, de nem 
vállalja azok visszaküldését, megőrzését. 
A COMPUTERWORLD-ben megjelenő valamennyi cikket (eredetiben vagy 
fordításban), minden megjelent képet, táblázatot stb. szerzői jog védi. 
Bármilyen másodlagos terjesztésük, nyilvános vagy üzleti felhasználásuk 
kizárólag a kiadó előzetes engedélyével történhet. 
A hirdetéseket a kiadó a legnagyobb körültekintéssel kezeli, ám azok 

j tartalmáért felelősséget nem vállal. 


A lapot a Lapker Rt., alternatív terjesztők és egyes számítástechnikai 
szaküzletek terjesztik. Előfizethető a kiadó terjesztési osztályán, 

az InterTicketnél (266-0000 9-20 óra között), a postai kézbesítőknél 
(06/80-444-4444; hirlapelofizetesoposta.hu, fax: 303-3440) 
Előfizetési díj egy évre 16 440 forint, fél évre 8220 forint, 

negyed évre 4110 forint. 

Lapunkat a MATESZ auditálja 

Olvasóink szokásait a Nemzeti Médiaanalízis méri fel. 


A Computerworld az IVSZ hivatalos médiapartnere. 


Be print-audit 


A szerkesztőségi anyagok 
vírusellenőrzését a NOD32 Antivirus 


GjeT 


programmal végezzük, amelyet 
a szoftver magyarországi forgalmazója, a Sicontact Kft. 
biztosítja számunkra. 
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AKTUÁLISI 


nopmatika 


A gazdaságért 


Az utóbbi időben számos fórum foglalkozott azzal, hogy az IT-ágazat mennyiben tudja segíteni a nemzetgazdaság fejlődését; de tőlem 
is egyre gyakrabban kérdezik: az informatika milyen támogatást adhat a gazdasági fellendüléshez, miben segíti a versenyképességet. 


Drajkó László 
ügyvezető igazgató, 
Microsoft Magyarország 


válaszom nagyon röviden 

is megfogalmazható: ok- 

tatás, az ígéretes vállalko- 
záskezdemények I1-támogatása, 
a piac szereplői számára profesz- 
szionális szolgáltatásokat kínáló 
megoldások szállítása, valós ér- 
tékteremtés az üzlet számára, és 
ha lehet, akkor újra csak az ok- 
tatás — a tudatos, jövőre felkészí- 
tő oktatás. 

Tudjuk, hogy szemléletváltásra 
és gyorsításra van szükség, a ma- 
gyar gazdaság nemcsak a világvál- 
ság miatt került kritikus helyzet- 
be. Onmagában az I1-ágazat nem 
kínálhat megváltást — ám nélküle 
elképzelhetetlen a fejlődés. 

Gyakran szembesülök azzal 
a tévhittel, hogy , az IT-beruhá- 
zás drága dolog, nincs nekünk elég 
pénzünk a korszerűsítéshez..." 
Ez a tétel így biztosan téves utak- 
ra visz, hiszen a legújabb megol- 
dások vagy a költségek közvetlen 
csökkentését célozzák, vagy pe- 
dig olyan fejlett szolgáltatásokat 
kínálnak, amelyekkel növelhe- 
tő egy szervezet hatékonysága és 
versenyképessége -— bár legtöbb- 
ször mindkét megállapítás meg- 
állja a helyét. 

Sajnos még az informatikai és 
gazdasági szakemberek közül 
sem tudja mindenki, hogy az II- 
frissítés nem feltétlenül jelent 
drága beruházást, hiszen a hard- 
verpark bővítése helyett virtuális 
szerverek kialakításával töredé- 
kére csökkenthető a fizikai szer- 
verek száma, ugyanakkor komoly 


megtakarítás érhető el az üze- 
meltetési költségekben is — ami 

a gyakorlatban például a villany- 
számla csökkenésében meg is mu- 
tatkozik. Az állami szektorban és 
a több telephelyes vállalkozások- 
nál redukálható a telefonszámla 
összege is, mivel az Egységes 
Kommunikáció (UC) nemcsak 
felgyorsítja, egyszerűsíti a külső- 
belső kommunikációt, hanem in- 
gyenessé teszi a cégen belüli te- 
lefonbeszélgetéseket is. Szívesen 
hozom példaként, hogy a Micro- 
soft Magyarországnál a munka- 
társak asztalain ma már nem ta- 
lálunk vezetékes telefont: minden 
hívás az MS Office részeként mű- 
ködő Communicatoron keresz- 
tül történik, így a külföldön tar- 
tózkodó kollégákkal is vagy csak 
a netre csatlakozás költségén, 
vagy helyi tarifáival beszélünk. 
Ezzel a váltással már az első hó- 
napokban is jelentős megtakarítá- 
sokat értünk el. 

Az állami és a vállalkozói szfé- 
rának is vadonatúj lehetőségeket 
kínál a XXI. század technológiá- 
ja: a felhő-számítástechnika. 

A Windows Azure platform ápri- 
lis elejétől Magyarországon is el- 
érhető, az eddigi tapasztalatok azt 
mutatják, hogy elsőként a szolgál- 
tatásfejlesztéssel foglalkozó vál- 
lalkozások ismerték fel az új le- 
hetőségeket. A felhő-számítás- 
technikára épülő BPOS (Business 
Productivity Online Suite) szol- 
gáltatásai már az első pillanattól 
kezdve keresettek, hiszen éppen 


azoknak a kis- és középvállalko- 
zásoknak teszi elérhetővé a leg- 
korszerűbb funkciókat, amelyek 
beruházás helyett a kiadások ter- 
vezhetőségét kínáló bérleti konst- 
rukcióval kívánnak versenyben 
maradni. 

A Microsoft Magyarországon is 
átfogóan támogatja az informa- 
tikai kultúra minden területét: 
kedvezményekkel segíti az ígére- 
tes és feltörekvő vállalkozásokat, 
számos programmal támogatja 
az oktatást és a nonprofit szerve- 
zetek működését. Fontosnak tar- 
tom megemlíteni, hogy a Micro- 
soft már a válság kezdete előtt 
sem hagyta magára a kezdő vál- 
lalkozásokat és a kreatív gondola- 
tok megvalósítására készülő cége- 
ket. A BizSpark program az in- 
duló kisvállalkozások, a WebSpark 
a webes fejlesztőcégek első lépé- 
seihez nyújt kedvezményesen 
megvásárolható szoftvereket, 

a felsőoktatás diákjai számára 
pedig az Imagine Cup versenyen 
való részvétel jelent kiugrási le- 
hetőséget. 

Az IIT-ágazat produktumai 
azonban önmagukban azért sem 
jelenthetnek megváltást, mert az 
informatikai rendszerek üzemel- 
tetői és felhasználói oldalon is 
egyre magasabb szintű tudást, 
úgynevezett , e-készségeket" igé- 
nyelnek. Ezek elsajátítása, kiala- 
kítása pedig csakis az oktatás 
színvonalának emelésével, új 
módszerek tanmenetbe illesztésé- 
vel valósítható meg, amit a , Társ 


a tanulásban" programunkkal se- 
gítünk. A felnőttoktatás kiszélesí- 
tését szorgalmazza a TIIAN ke- 
retprogram és az évek óta zajló 

, Korlátlan lebetőségek" program, 
amelyek keretében a nonprofit 
szervezetek is támogatást kaptak 
és kapnak. Mindez a gyakorlatban 
térítésmentes vagy kedvezménye- 
sen megvásárolható szoftvereket 
is jelent. Mind a felhasználói in- 
formatikában, mind pedig ennek 
oktatásában egyre nagyobb po- 
zitív szerepet játszik a felhaszná- 
lói élmény — a , user experience" 
-— ami ma már az egyik legfonto- 
sabb szempontja a jövő rendszere- 
it fejlesztők gondolkodásának. 

A magyar gazdaság az elmúlt 
években - részben a válság mi- 
att — kevesebbet használt ki az in- 
formatika által felkínált lehető- 
ségekből, ennek egyik következ- 
ménye, hogy relatív összehason- 
lításban pozíciót is vesztettünk 
régiónkban. Az utóbbi hónapok- 
ban azonban már mutatkoznak 
olyan pozitív változások, ame- 
lyek a fellendülés előjelei lehet- 
nek. Tavaly év vége óta folyama- 
tosan élénkül a kisvállalkozások 
II-beruházási kedve, és érezhető, 
hogy a közepes és nagyvállalatok 
körében is visszatért az érdek- 
lődés. Azt biztosan állíthatom, 
hogy az II-ágazat mindent meg- 
tesz a fellendülésért. Ha a kor- 
mányzat is támogatja az informa- 
tikai beruházásokat, akkor már 
idén is érezhetjük a gazdaság fej- 
lődésének első jeleit. 91 
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Microsoft-konferencia Balatonfüreden 


únius 9-10-én kétnapos kon- 
jJ ferenciát tart a Microsoft Ma- 
gyarország. A szervezők kife- 
jezetten az II-vezetőknek ajánlják 
a Balatonfüreden megrendezen- 
dő eseményt, ahol a résztvevők 
megismerhetik az II1-világ és II- 
management aktualitás újdonsá- 
gait, valamint a jövő megoldásait 
a Microsoft szemszögéből. 

A plenáris előadásokon többek 
között megismerhetők a számítási 
felhő (cloud computing) lehetősé- 
gei és hatásai, a résztvevők csapat- 
építést tanulhatnak Kemény Dénes 
vízilabdaedzőtől, vagy megismer- 
hetik egy üzleti vezető elvárásait, 
hogy az II miként segítse az üzleti 
teljesítményt. 

A konferencia szakmai szekciói 
két fő területre koncentrálnak: az 
egyikben az II-vezetőket érintő 


napi feladatokat és kihívásokat tag- 
lalják a szakértők. Az előadások el- 
sősorban a szemléletre, a folyama- 
tokra és a tudásmenedzsmentre 
koncentrálnak, és csak a háttérben 
érintik a felhasznált szoftvereket, 
technológiákat. A prezentációk fó- 
kuszában szerepel az is, hogy az ÍT 
miként tudja a lehető leghatéko- 
nyabban segíteni egy vállalat mű- 
ködését, de szó lesz arról is, ho- 
gyan tudja saját szerepét mérni és 
képviselni a gazdasági vezetőség 
azon szereplőivel szemben, akik 
már az I1-tól távolabb, szigorúan 
üzleti szemlélettel gondolkodnak. 
A második szekció fő célja, hogy 
áttekintést adjon a legfrissebb 
technológiákról és trendek- 
ről. A szakelőadók megmutat- 
ják, melyek a Microsoft termék- 
fejlesztésének kiemelt irányai eb- 


ben az évtizedben. Konkrét pél- 
dákon keresztül ismerhetők meg 
azok a technológiák, amelyek már 
most is rendelkezésre állnak. Az 
egyes területek szakértői a számí- 
tási felhő mellett részletesen is- 
mertetik a szolgáltatásalapú IT, 
valamint a virtualizáció meg- 
oldási lehetőségeit és előnyeit: 
Infrastructure as a Service, Plat- 
form as a Service vagy Software 
as a Service, önkiszolgáló üzleti 
intelligencia, hatékony csoport- 
munkát támogató eszközök, 
online elérhető Office szolgálta- 
tások. A résztvevők választ kap- 
nak arra a kérdésre is, hogyan 
lesznek e technológiák a közeljö- 
vő megoldásainak építőkockáti. 

A konferenciára jelentkezni 
a www.microsoft.hu/itm webolda- 


lon lehet. a 


Megjelent a Microsoft 


Egri Imre-Molnár József " New 
Yorkban a Microsoft hivatalosan 
is bejelentette, hogy elkészült az 
Office 2010, a SharePoint 2010, 
a Visio 2010 és Project 2010. 

A szoftverek 14 nyelven már elér- 
hetők az üzleti felhasználók számá- 


ESEMÉNYNAPTÁR 


Május 18. 
IDC Storage, Virtualization and 


Datacenter Roadshow 2010 
n www.idchungary.hu 


Május 18-19. 
Média Hungary 
" www.mediahungaria.hu 


Május 19. 
A szoftverhonosítás szakmai alap- 


jai (Informatika a látássérültekért) 
n www.infoalap.hu 


Május 26. 


CRM 2010 
n www.cebc.hu 


További események 


n www.computerworld.hu/esemenyek 


ra, míg magyar nyelvű megfelelő- 
ikhez nyáron juthatnak hozzá a ha- 
zai mennyiségi licencvásárlók. Az 
irodai alkalmazások kiskereskedel- 
mi megjelenésére azonban még vár- 
ni kell, mivel azok csak június 15- 
én jelennek majd meg Amerikában. 
Hazánkban a Microsoft Magyar- 
ország tájékoztatása alapján ősszel 
lesznek elérhetők a szoftverek, ak- 
korra készül el lokalizációjuk. 

A Microsoft üzleti részlegének 
elnöke, Stepben Elop alapvető vál- 
tozás pillanatának nevezte az Of- 
fice 2010 bejelentését. A vállal- 
kozások kisebb keretből tudnak 
gazdálkodni és nagyobb az igény 
a mobilitásra is, ezért az Office 
2010 és a SharePoint 2010 ter- 
mékeket ezeknek az igényeknek 
a szem előtt tartásával tervezték. 
A cég elemzője szerint egy 7000 
irodai dolgozót foglalkoztató cég 
egy év alatt 7 millió dollárt taka- 
ríthat meg az Office 2010 beszer- 
zésével, és évente kétheti élőmun- 
ka-erőt is visszaadhatnak a vásár- 
lónak. Ilyen szolgáltatás például, 
hogy egyszerre többen dolgoz- 
hatnak egyazon dokumentumon, 
vagy hogy az új Outlook képes be- 


Office 2010 


szélgetésszálakat göngyölíteni. 
Külön eszköz, a Social Collector 
gyorsítja meg a személyes ada- 
tok beszerzését a Linkedln vagy 

a Facebook oldalairól, és a Power- 
Point már webes prezentációk ké- 
szítésére is közvetlenül alkalmas. 
A OneNote jegyzetelő program is 
időt takaríthat meg. 

Korábban több híresztelés jelent 
meg azzal kapcsolatban, hogy az 
ingyenes webes Office a bejelen- 
téssel egy időben elérhetővé vál- 
hat. Erre Cris Capossela, az Office 
üzletág alelnöke rácáfolt. Szerin- 
te ugyanis a böngészőben futtat- 
ható Word, Excel, PowerPoint és 
OneNote ugyancsak június 15-től, 
az Office 2010 kereskedelmi 
forgalomban való megjelenésé- 
nek pillanatától lesz elérhető. El- 
mondta, hogy már 8,6 millióan ki- 
próbálták az új Office béta-válto- 
zatát, és a cég több mint 90 mil- 
lió felhasználóra számít. Iovábbi 
üzleti bevételek reményében nem- 
csak a már említett ingyenes we- 
bes változat lesz hozzáférhető 
a SkyDrive-on, de még idén terve- 
zik a teljes csomag felhő szolgálta- 
tásként való piacra dobását is. 41 
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Pásztóné Nagy Erika 


Új HR-menedzser ér- 
kezett a Canonhoz 
Pásztóné Nagy Erika 
személyében. A szak- 
ember a Janus Pan- 

[ nonius Tudomány- 

úl egyetemen (a mai Pé- 
csi Tudományegyetemen) személyügyi 
szervező, majd a Budapesti Corvinus 
Egyetemen humánmenedzsment sza- 
kon szerzett diplomát. Az egyetem után 
a Synergon Informatika Nyrt.-nél HR- 
menedzserként helyezkedett el, majd 

a Siemens Magyarország humánerőfor- 
rás-referenseként folytatta munkáját. 
"Tapasztalatait később a Mercer üzletág- 
vezetőjeként kamatoztatta. 


Miskei Gáhor 


Május 12-ével Miskei 
Gábort nevezték ki 

a HP Képalkotási és 
Nyomtatási Uzletág 
(IPG) hazai vezető- 
jének. A tizenöt éves 
HP-s múlttal rendelke- 
ző szakember jól ismeri a területet, hi- 
szen eddig a Tintasugaras Nyomtatási 
Megoldások üzletágának értékesítési 
igazgatójaként tevékenykedett. A te- 
rületet eddig irányító Czinege László az 
IPG-üzletág szaúd-arábiai vezetője lett. 
Miskei Gábor a moszkvai Mengyelejev 
Vegyipari Műszaki Egyetemen végzett, 
majd egy pennsylvaniai nemzetközi táv- 
oktatási képzésben üzleti szakirányú ok- 
levelet szerzett. Karrierjét vegyészmér- 
nökként kezdte a Magyar Alumínium- 
ipari Irösztnél, majd néhány év távköz- 
lési tapasztalatszerzés (DND Telecom 
Kft.) és műszaki fogyasztási cikk forgal- 
mazása (Sony Hungária Kft.) után ke- 
rült a HP-hoz. 


Hampl Viktor 


Megtartotta éves ren- 
des közgyűlését a 100 
százalékos magyar tu- 
lajdonban lévő Delta 
Csoport. A közgyű- 
lés döntött az igazga- 
Haoem8 tótanács összetételé- 
nek átalakításáról is, így Czakó Ferenc, 
aki 2007-ben a részvénytársaság meg- 
alakulásának évében csatlakozott a cég- 
hez, megválik igazgatótanácsi tagságá- 
tól. Helyét Hamp! Viktor veszi át, meg- 
tartva eddigi vezérigazgatói tisztségét. 
emez) 
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Díj az SCINetworknek 
A Cisco Magyarország tizedik alka- 
lommal adta át , Az év magyarorszá- 
gi Cisco-partnere" díjat. Ezt idén 11 
különböző kategóriában ítélte oda 
a közös sikerekhez leginkább hoz- 
zájáruló hazai partnereinek. Az in- 
doklás szerint az elismerést a cég 
egyenletes magas szintű szolgálta- 
tásaival, a Cisco-szolgáltatások ha- 
tékony piaci pozicionálásával, vala- 
mint kimagasló ügyfél-elégedett- 
séggel érdemelte ki. 


A S5APA a NEXON-ra 
szavazott 

Hatékonysága növelése érdekében 
a SAPA Profiles Kft.— a globálisan 
legnagyobb alumíniumprofil-gyár- 
tó hazai képviselője — integrált hu- 
mán ügyviteli rendszer bevezetése 
mellett döntött. A területen dolgo- 
zó kollégák korábbi jó tapasztala- 
tai miatta NEXON megoldására 
esett a választás. 


Új A3-as Xerox MFP 


Fejlett lapolvasási és dokumentum- 
kezelési szolgáltatásokat, valamint 
biztonsági funkciókat kínál kedvező 
áron a kis- és közepes vállalatok- 
nak a Xerox új, színes, többfunkci- 
ós nyomtatója, a WorkCentre 7120. 
A költségérzékeny kis- és középvál- 
lalkozásoknak kifejlesztett Xerox 
WorkCentre 7120 színes többfunk- 
ciós készülékével figyelemfelkel- 

tő színes dokumentumok, például 
prezentációk, brosúrák nyomtatha- 
tók. A magas minőség többek kö- 
zött a Xerox Emulsion Aggregate 
High Gloss (EA-HG) magas fényű 
tonernek köszönhető, amely kismé- 
retű, egységes szemcséi révén kris- 
tálytiszta szöveget és az eddigieknél 
élesebb színes képeket produkál. 


REGISZTRÁLJON 


A biztonság szeme 


A térfigyelő rendszerek kialakítása szerteágazó problémakör: 

a jogi kérdésektől kezdve az optikai és informatikai problémákig 
számtalan témát felölel, de ha csak a szűken vett technikai 
részleteket nézzük, már akkor is többféle aspektusával 
találkozhatunk a problémának. Írta: Makk Attila 


ngolul video surveillance, né- 
A metül Videoüberwacbung 

franciául vidéo-surveillance, 
oroszul eudeonaőjodenue — megfi- 
gyelés videorendszeren keresztül. 
A térfigyelő rendszereken elsősor- 
ban a videós megfigyelő rendszere- 
ket értjük, amelyek komoly fejlődé- 
sen mentek át az elmúlt évtizedben. 
Az első, mintegy 40 évvel ezelőtt 
használt rendszereknek nagy teljesít- 
ményigényük volt, hiszen lényegé- 
ben egy kis televíziós adóként mű- 
ködtek, aminek a képét a közelben 
egy tévékészüléken lehetett megje- 
leníteni. Hatalmas ugrást jelentett 
a vezetéken továbbított analóg jel, 
amit az is jól mutat, hogy a mai meg- 
figyelő rendszerek többsége még 
most is erre épít. Az ilyen rendsze- 
rek alapja egy egyszerű és olcsó ka- 
mera, amely az általa vett képet ana- 
lóg jelként továbbítja egy kábelen 
a képet rögzítő eszközhöz, régebben 
egy videomagnóhoz, manapság in- 
kább egy digitalizáló kártya-számí- 
tógép konfigurációhoz. A fejlesztők 
nagyon gyorsan szembesültek azzal, 
hogy a rögzített képet nem egyszerű 
kezelni, például azért nem, mert ál- 
talában egyszerre több kamera képé- 
vel kell dolgozni. Nehézkes volt a kí- 
vánt képek visszakeresése is. Az ilyen 
rendszerek sok emberi beavatkozást 
igényelnek, ami egyfelől növeli a hi- 
balehetőséget, másrészt alkalmat ad 
a visszaélésekre. 

Az analóg jel digitalizálása és szá- 
míitógépen való rögzítése minősé- 
gi ugrást jelentett: még a kisebb hát- 
tértárak korában is hatalmasat nőtt 
a rögzíthető képmennyiség és a kép- 
minőség, ráadásul a digitalizált kép- 
folyam tárolása, az információk visz- 
szakeresése is egyszerűbbé vált. 

Az IP-kamerák megjelenése sok 
szempontból forradalmasította a tér- 
figyelést. Számtalan olyan lehetőség 
merült fel — amelyek köre a folyama- 
tos fejlesztéseknek köszönhetően év- 
ről évre bővül —, amit érdemes ala- 
posabban is górcső alá tenni. 


A biztonság szeme — Térfigyelő rend- 
szerekkel a biztonságért című konfe- 
renciánk is elsősorban ezekre az új 
fejlesztésekre koncentrál: milyen 
infrastruktúrát használjunk? Hogyan 
használjuk hatékonyan? Ebben ho- 
gyan segítenek az új technológiák? 

Az IP-kamerák megjelenésével 
a klasszikus rendszerek utolsó ele- 
mei is digitálisra cserélődtek. Az 
analóg kábelt felváltotta az Ethernet 
hálózat, a videoinformációkat ve- 
zeték nélküli hálózaton is lehet to- 
vábbítani, a rendszerbe beépült egy 
webszerver, amely a kamera képét 
ott a dobozon belül digitalizálja, fel- 
dolgozza, és már így továbbítja a há- 
lózaton. Ezt a képet pedig a már 
meglévő hálózaton nagyon könnyen 
továbbíthatjuk, akár a világ másik 
felén is tárolhatjuk — és minderre 
a meglévő hálózati infrastruktúrán- 
kat használhatjuk. A különböző ese- 
ményeket már képes automatikusan 
felismerni a rendszer, ezekhez riasz- 
tásokat rendelhetünk és így tovább. 

A Computerworid konferenciája 
a témát nemcsak technikai oldalról 
kívánja bemutatni. Szabó Endre, az 
Adatvédelmi Biztos Irodájának fő- 
osztályvezető-helyettese a térfigyelés 
adatvédelmi vonatkozásairól beszél. 
Hozzá kapcsolódik Ormós Zoltán 


ügyvéd, az Ormós Ügyvédi Iroda 
vezetője, aki bemutatja azokat 
a törvényeket és rendeleteket, ame- 
lyek a térfigyelés során rögzített 
adatok tárolására vonatkoznak. Mi- 
vel az állampolgárok személyi és 
vagyonbiztonsága általános politi- 
kai cél, az Európai Unió több pá- 
lyázati lehetőségen keresztül is tá- 
mogatja a különböző megfigyelő 
rendszerek kiépítését. Az önkor- 
mányzatok és vállalkozások számára 
nyíló lehetőségekről Kovács Ibolya 
Krisztina, a Rolling Consulting 
Hungary Kft. ügyvezető partne- 
re, valamint munkatársa, Kiss Gyula 
senior manager beszél. A rendsze- 
rek kiépítésének technológiai prob- 
lémáival is több előadás foglalko- 
zik. Élő András, a D-Link ügyveze- 
tője azt mutatja be, miként lehet ki- 
építeni egy megfigyelő rendszert 
egyetlen gyártó termékeire épít- 
ve. Az előzetes tervek szerint elő- 
adását egy a helyszínen felépített 
demórendszer is illusztrálja majd. 
Bata Miklós, az Aspectis Kft. ügy- 
vezető igazgatója Az IP-videó fejlődése 
— avagy bol tart a digitális megfigyelés 
és mekkora lebetőségek rejlenek még 
benne? című előadásában az iparág 
legújabb fejlesztéseiről és a jövő 
technológiáiról beszél. Bringye Péter; 
az Observant Kft. ügyvezető igazga- 
tója bemutatja, hogyan lehet a tér- 
figyelést szolgáltatásként igénybe 
venni. Ballagó Csaba, a SCI Network 
munkatársa az infrastruktúrából 
adódó problémákról beszél majd 
a Videomegfigyelő rendszerek adatkap- 
csolatainak biztonsági kérdései című 
előadásában. 47 


A biztonság szeme 


Térfigyelő rendszerekkel a biztonságért 
2010. május 27. " Corner Kendezvényközpont 
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Itthon még kevéssé népszerű a 


Mallász Judit " Magyarországon 
csupán a vállalatok és intézmé- 
nyek II százaléka szervezi ki in- 
formatikai erőforrásait, szemben 
az európai, 30 százalékot megha- 
ladó aránnyal. 

A nemzetközi trendek azt mu- 
tatják, hogy a cégek többsége né- 
hány éven belül adatközpontok- 
ban helyezi el szervereit. A kiszer- 
vezésnek több szintje van (elhe- 
lyezés, bérlet, virtualizáció), de 
a lényeg, hogy a szerverek üze- 
meltetését külső szolgáltatóra bíz- 
zák. Európában már most 30 szá- 
zalék fölött van az informatikai 
infrastruktúra kiszervezésének 
aránya, miközben itthon a vállala- 
toknak és intézményeknek csupán 
11 százaléka választja a hosztolt 
II-szolgáltatásokat. 

Az Invitel tapasztalata szerint 
a cégvezetők jelentős része nem 
is számol a szerverhoszting- 
szolgáltatásokkal, illetve a bérel- 


hető alkalmazásokkal, holott szá- 
mos érv szól mellettük. Ezek kö- 
zül feltétlenül említést érdemel 

a korszerű, rugalmas technoló- 
gia, a szakértelem, a biztonság és 
a költségcsökkentés. A vezetők- 
nek általában nincs meg a döntés- 
hez elegendő információjuk, és 
bizalmatlanok a kihelyezett IT- 
szolgáltatásokkal szemben. 

Egy nyugat-európai felmérés 
szerint a kiszervezés terjedésének 
legfőbb gátja a kontroll elveszté- 
sétől való félelem. Ezenkívül sok 
cégvezető attól is tart, hogy a várt 
költségcsökkentés nem valósul 
meg. Vannak, akik attól félnek, 
hogy a külső szerveren elhelyezett 
adatokhoz könnyebben hozzáfér- 
hetnek illetéktelenek. Ezzel szem- 
ben a kihelyezett üzemeltetésnek 
köszönhetően nő a biztonság és 
a kiszolgálás színvonala, a kont- 
roll is megmarad, ráadásul egy- 
szerűen tervezhetővé válik a szer- 


ver üzemeltetési költsége — mutat- 
tak rá az Invitelnél. 

- Magyarországon egyelőre hi- 
ányzik a tisztánlátás, kevesen tud- 
ják, hogy mit kell há- 
zon belül tartani, és 
mit érdemes kihe- 
lyezni. A válság rá- 
kényszeríti a cégeket, 
hogy szembenéz- 
zenek a problémá- 
val, és így fokoza- 
tosan kialakulhat az 
I1-infrastruktúra ki- 
helyezésének kul- 
túrája. A nagyvál- 
lalatok természete- 
sen már előbbre ju- 
tottak a folyamatban, 
most a kis- és közép- 
vállalatokon a sor. A helyes ará- 
nyok megtalálásában a szolgálta- 
tóknak is komoly szerepük van — 
fogalmazott Zsembery György, az 
Invitel értékesítési és marketing 


György 


Zsembery 


értékesítési és mar- 
keting vezérigazgató- 
helyettes, Invitel 


ISZETrTVEezÉS 


vezérigazgató-helyettese. Hozzá- 
tette: kihelyezéssel, 4-5 éves táv- 
latban, az I1-költségek mintegy 
30 százaléka takarítható meg. 

Az Invitel közel 10 
éve üzemeltet adat- 
központokat. Leg- 
újabb, felső kategóri- 
ás adatközpontját egy 
évvel ezelőtt nyitotta 
meg. Jelenleg a társaság 
mintegy 60 ezer üzleti 
ügyfele közül több mint 
300-an vesznek igénybe 
hoszting szolgáltatást. 
Az ebből az üzletágból 
befolyó bevétel a válla- 
lati piaci kiskereskedel- 
mi bevétel közel 10 szá- 
zaléka. Az Invitel 2009- 
es teljes árbevétele 91,8 milliárd 
forint (EBITDA: 42,6 milliárd fo- 
rint), 2008-as árbevétele 97,1 mil- 
liárd forint volt (EBITDA: 42,7 
milliárd forint). af 


BalaBit blogfolyam -— naplózásban otthon vagyunk 


A magyar IT legjobb arcai nálunk dolgoznak. Iratkozz fel az általuk szerkesztett blogokra! 
Biztonsági tanácsok, keresetlen vélemények, fejlesztési titkok, moziajánlók... 


A naplózáson túl - Privilege access control és Activity audit 


Megpróbálom röviden összefoglalni a lényeget, mielőtt a kedves, de mindig 
türelmetlen olvasó tovább lapoz vagy tovább kattint. Egy új trendről írnék, 
amely a rendszernaplózás fontos kiegészítője lehet majd a jövőben, illetve 
szeretnék beszámolni egy a BalaBit életében fontos technológiai 
szövetségről. 


Lássuk hát, mi hiányzik a naplózásból! A hagyományos naplózó rendszerek a 
hajónaplóval analóg módon működnek. Röviden és velősen megragadják a 
lényegi történéseket: 


AD 1632. március 4. 6:04 - Napsütésre ébredtünk, a tenger nyugodt, jó 
szelünk van, az irány nyugat, 268 fok. 

AD 1632. március 4. 16:08 - A szél északira fordul és fokozatosan erősödik. 
AD 1632. március 4. 16:31 - Be kell vonnunk a vitorlákat. 


Aki ért hozzá, az bizonyos idő ráfordításával meg tudja érteni, és össze tudja 
rakni magában, mi történt. Szüksége lesz hozzá némi képzelőerőre is, és 
ismernie kell a környezetet - hiszen a részletek a naplóban nincsenek benne - 
, de alapvetően követni tudja majd az eseményeket. A napló elemzéséből 
pedig például előre tudja jelezni, ha a hajó zivatarzóna felé tart, és erről 
riasztástis adhat ki. 


AD 1632. március 4. 16:05 - A művelet közben leszakadt egy kábel, így az 
erős szélre tekintettel, az egész vitorlát levágtuk. A vászon a tengerbe 
veszett. 


Amikor viszont kritikus esemény történik, a napló felbontása gyakran nem 
elegendő ahhoz, hogy kellő pontossággal rekonstruáljuk a történteket. Ez 
érthető is, hiszen a hajónapló más léptékre készült. Ahhoz, hogy a baleset 
körülményeit kivizsgáljuk, most arra lenne szükség, hogy a kapitány minden 
egyes utasítása és mozdulata bekerült volna a hajónaplóba. Vagy ami még 


jobb, rögzítette volna azokat egy kamera. 


Biztonsági szempontból ugyan már rég óta lenne rá igény, de a privilegizált 
felhasználók ellenőrzése igazán az utóbbi fél évtized üzleti botrányai által 
hajtott regulációk (pl: SOX, PCI, HIPPA), és az azoknak való megfelelés 
(compliance) kényszere miatt került most reflektor fénybe. 


Könnyű belátni, hogy az üzletileg kritikus rendszereken végzett műveletek 
visszakövethetőségének és auditálhatóságának biztosításához nem elegendő 
a rendszernaplók gyűjtése és tárolása. Amire szükség van - és a activity audit 
éppen ezt nyújtja - az a teljes tevékenység, minden kiadott utasítás, minden 
egérmozzanat eltárolása. Amennyiben ezt filmszerűen visszajátszhatókén 
oldjuk meg (és, hát így oldottuk meg :-), akkor még az ellenőrzés is sokkal 
gyorsabbá és egyszerűbbé válik, ami komoly költségektől kímél meg minket 
egy oknyomozás (forensics) során. 


Amikor megalkottuk az activity audit fogalmát, és ezzel megteremtettük ezt a 
piacotis egyben, elsősorban az adminisztratív (értsd: rendszergazda típusú) 
felhasználók tevékenységének szabályozását és auditját szerettük volna 
lehetővé tenni. A következő lépésünk, hogy minden kritikus rendszeren 
végzett tevékenységet a kameránk fókuszába állítsunk, például a pénzügyi 
rendszereken dolgozók 

tevékenységét is. 


Ezt célozta a Microsofttal 
kötött technológiai szövetség, 
és az elmúlt hetekben aláírt 
megállapodás a Citrix 
fejlesztőjével is, mely ennek a 
postnak az apropóját is adta. 


Kiss Attila - marketing vezető 


BalaBit 
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Google-Verizon: iPad-konkurenst akarnak 


Egri Imre " A Verizon és a Google 
olyan Android-alapú táblagépen 
dolgozik, amely az Apple iPad ki- 
hívója lesz. 

Hivatalos bejelentésről ugyan 
nincs szó, ugyanis sem a Verizon 
mobilszolgáltató, sem pedig 
a Google nem kommentálta az ér- 
tesülést, de a Wall Street fournal 
beszámolója szerint a Verizon 
Wireless vezérigazgatója, Lowell 
McAdam már megemlítette a ter- 
méket egy interjú során. 

Feltételezhetően a Google And- 
roid operációs rendszerét fut- 
tatja az új tablet, ami ugyan egy 
okostelefon operációs rendszere, 


de ezelőtt is volt már rá példa, 
hogy táblagéphez használták. Az 
Archos kínálatában szerepel egy 
Android tábla, és hónapok óta ke- 
ringenek pletykák a Motorola és 
a Dell hamarosan megjelenő ha- 
sonló termékéről. 

Jelenleg a táblahelyzet megle- 
hetősen egypólusú — az USA-ban 
az ATgI egyezett meg kizáróla- 
gosan az Apple-lel az iPad forgal- 
mazásáról. A Verizon nyilvánva- 
lóan azt reméli, hogy mint a ke- 
resőóriás partnere képes lesz az 
iPad sikeréhez hasonló eredmé- 
nyeket elérni. Annál is inkább, 
mert még az iPhone-ra vonatko- 


zóan is kizárólagos szerződés- 
ben állaz ATg1 az Apple-lel, 
így okostelefon-fronton már üt- 
köztette az androidos Motorola 
Droidot az iPhone-nal. Egy 
Android-alapú táblagép kiter- 
jeszthetné ezt a stratégiát a tábla- 
gépek frontjára is. 

Az Apple ugyan bejelentette, 
hogy már az iPad forgalmazásá- 
nak első 28 napjában 1 millió da- 
rabot adott el, de nem részletez- 
te, hogy ezen belül hány darab 
3G-s készülék talált gazdára. Te- 
kintettel arra, hogy a 3G válto- 
zat csak a 28 napos periódus utol- 
só napján került a boltokba, érté- 


kesítési aránya nem lehet túl ma- 
gas, tehát az egymillió iPad majd" 
mindegyike szimpla wifis modell 
kell, hogy legyen. 

Egy új, nem az Apple privát 
médiabirodalmához láncolt tablet 
megjelenése nagy sikert hozhat, 
különösen egy nagy mobilszol- 
gáltató üzletében. Aki eddig ide- 
genkedett az Apple-től, az szaba- 
dabban használható táblagép-al- 
ternatívához juthat majd. Nagyon 
nagy a várakozás ezen a piacon, 
amit csak felfokozott a HP-Palm 
felvásárlás híre, amelyről már be- 
számoltunk (Computerworlid 19. 
szám, 12. oldal). a 


A Sprint dobja a (ioogle telefont 


Dávid Imre " A Sprint bejelentet- 
te, hogy nem támogatja tovább 

a Google Nexus One telefonját. 
A mobilszolgáltató a HIC EVO 
közelgő bemutatása miatt döntött 
így, emiatt rendkívül bizonyta- 
lanná vált, hogy a Google elérhe- 
ti-e mobilüzletágának ambiciózus 


Újabb Nokia-Apple szahadalmi vita 


A Nokia és az Apple közti szabadalmi háborúban előbbi 

legújabb beadványában további 5 szabadalmának megsérté- 
se miatt emelt panaszt az Apple iPad 3G és iPhone kapcsán. 
A folyó ügyek tétje összesen akár milliárdos összeg is lehet, 


méghozzá dollárban. 


A Nokia szerint az Apple azzal sértette meg szabadalmi joga- 
it, hogy termékeiben a beszéd kiemelésére, adatátvitelre vo- 
natkozó technológiákat alkalmazott, illetve innovatív anten- 
nákat használt. A Nokiának ugyanis kompakt eszközökre 
vonatkozó szabadalmai vannak ezeken a területeken. , Azért 
kényszerültünk erre a lépésre, hogy megvédhessük úttörő 


értékesítési céljait, mert a döntés 
a keresőóriás mobilüzletágának 
egyesült államokbeli részesedését 
is komolyan veszélyeztetheti. 

A Nexus One weboldalára ellá- 
togató felhasználók jelenleg teljes 
és támogatott áron juthatnak hoz- 
zá a I-Mobile hálózatában hasz- 


nálható készülékekhez; az ATxT 
előfizetői kizárólag teljes áron vá- 
sárolhatják meg a telefont. 

Az oldal nem említi a Sprintet; 
a szolgáltató márciusban még 
azt jelentette be, hogy támogatja 
a Google készülékét, most azon- 
ban úgy döntött, mégsem forgal- 


fejlesztéseink eredményeit, és véget vessünk a folytatólagos 
törvénytelen felhasználásnak a Nokia innovációtt illetően" — 
mondta Paul Metin, a Nokia szabadalmi osztályának mene- 

dzsere. Beadványában a cég leírja, hogy mintegy 5 1 milliárd 


dollárt költött kutatásra és fejlesztésre, aminek során 1 1 ezer 


mi tulajdonjogait. 


szabadalmat jegyzett az utóbbi 20 évben. 

A Nokiával elfajult csatározása mellett az Apple egy másik 
jogi háborúban is részt vesz, nevezetesen a HTC, a Google 
Nexus One okostelefon gyártója ellenében. A kereset szerint 
az alkalmazott technológiákkal a vállalat sérti az Apple szelle- 


mazza majd a Nexus One-t, el- 
sősorban azért, mert hamarosan 
megjelenik a szintén Android 
operációs rendszert használó, 
3G mellett a WiMAX hálózat- 
tal is együttműködő a HTC 
EVO 4G. 

A Google januárban mutatta be 
tervezett mobilértékesítési straté- 
giáját. A cég szakemberei által ki- 
dolgozott modell a szabad készü- 
lék-, szolgáltató- és szolgáltatás- 
választásra épült volna. Az elem- 
zők már akkor figyelmeztettek: 
egy olyan, rendkívül heterogén pi- 
acon, mint az Egyesült Allamok, 
csak nagy nehézségek árán lehet 
megvalósítható egy hasonló terv. 

, Európában, ahol a szolgál- 
tatók egységes frekvenciákat és 
technológiákat alkalmaznak, 

a felhasználók pedig kedvükre 
cserélgethetik a SIM-kártyákat, 
könnyebb dolguk lenne"? — ele- 
mezte a helyzetet Allen Nogee, az 
In-Stat elemzője. 91 


Megveszi a Syhase-t az 5AP 


Computerworld.hu : Az SAP beje- 
lentette, hogy mintegy 5,8 milli- 
árd dollárért megvásárolja az adat- 
bázisokkal és mobilalkalmazások- 
kal foglalkozó Sybase céget. 

Az SAP eddigi, javarészt válla- 
lati ERP-alkalmazásokból álló 
portfólióját jelentősen kibővíti 


a Sybase felvásárlása. A Sybase 
részvényesei név nélküli szavazá- 
son döntöttek az ügylet mellett, 
amely a trösztellenes hivatali szer- 
vek jóváhagyására vár. 

A memóriában zajló feldolgozást 
különösen érdekesnek találja Hasso 
Plattner; az SAP társalapítója és elnö- 


ke, aki azt jósolta, hogy ez a techno- 
lógia átformálja majd a vállalati al- 
kalmazások piacát. A Sybase emel- 
lett olyan termékeket is árul, amelyek 
széles körben használatosak üzleti al- 
kalmazások okostelefonra vagy más 
mobileszközre telepítéséhez. Az SAP 
ezekben is erősen érdekelt. 


, Sok ügyfelünk valós időben sze- 
retné vállalatát irányítani és bárhon- 
nan azonnali döntéseket hozni, de ez 
elég nehéz, ha a mobil munkatársak 
nem érhetik el az aktuális adatokat" — 
mondta Jim Hagemann Snabe, az SAP 
társ-vezérigazgatója. Az SAP ezért 
a Sybase mobilalkalmazás platform- 
ját fogja bevetni, hogy a munkatársak 
bárhonnan elérhessék SAP-s üzleti és 


analitikai alkalmazásaikat. 9 
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I MINŐSÉGBIZTOSÍTÁS AZ IT-SZEKTORBANI 


ÁnaliziS 


Az informatikai szektorban különösen fontos szerepet játszik a folyamatos és megbízható minőség-ellenőrzés. Azok a gyártók, amelyek 


reménybeli üzletfeleik meghódítása mellett a szakmai és ellenőrző szervezetek bizalmát is szeretnék kivívni, Magyarországon is egyre 
nagyobb számban veszik igénybe a független minőség-ellenőrző szervezetek szolgáltatásait. Írta: Dávid Imre 


ik ál 


minőségbiztosítás cél- 
ja, hogy az elvárásoknak 
megfelelő, kiegyensúlyo- 


zott, állandó minőségű termé- 
kek, szolgáltatások jelenhessenek 
meg a piacon. Ez a vevőnek és az 
eladónak egyaránt előnyére szol- 
gál. Előbbiek, ha az ellenőrzési fo- 
lyamatokon sikerrel átesett cégek- 
től vásárolnak, szavatolt minőségű 
termékekhez, szolgáltatások- 

hoz juthatnak hozzá, utóbbiak pe- 
dig az ellenőrzés, auditáció során 
olyan tanúsítványokra tehetnek 
szert, amelyek hitelt érdemlően bi- 
zonyítják, hogy a szabványoknak és 
a vásárlói elvárásoknak megfelelő 
termékek kerülnek ki a gyártóso- 
raikról. Ennek révén akár jelentős 
versenyelőnyre is szert tehetnek: 
az ellenőrzések nyomán növekszik 
a termékeikkel, szolgáltatásaikkal 
szembeni fogyasztói bizalom, így 
azok versenyképesebben értékesít- 
hetők. Mi több, a minőség-ellen- 
őrzési tanúsítványok sok esetben 
különféle kellemetlen jogvitákat is 
megelőzhetnek. 


MŰKÖDÉS ÉS BIZTONSÁG 

- A minőségbiztosítás több oldal- 
ról megközelíthető kérdéskör, kü- 
lönösen az IT- és szoftverfejlesz- 
téseknél — magyarázta Szentpály 
Miklós, a TÜV/MEEI vizsgáló- 


mérnöke. - Sok esetben valami- 


lyen másik termékhez kapcsoló- 
dóan vizsgáljuk az egyes megol- 
dásokat — például egy szoftvert. 
Szentpály egy kazán égővezérlő 
berendezését hozta fel példának. 
— Ezeket a berendezéseket ma 
már mikroprocesszorok vezérlik 
— mondta. — E processzorok gon- 
doskodnak például arról, hogy ha 
elalszik a láng, a rendszer lezárja 
a gázcsapot, és elkerülhetővé vál- 
jon a gázömlés, a baleset. Egy- 
re több a programvezérelt, szoft- 
verrel szabályozott rendszer (irá- 
nyítástechnikai rendszerek, orvosi 
készülékek, berendezések, közle- 
kedési eszközök, gyártó automaták 
stb.). Az ilyen és hasonló termék- 
körökhöz számos szabvány kap- 
csolódik, de minden esetben van 
egy alapszabvány, amelyik körül- 
járja az adott témakört, és eseten- 
ként más szabványokat is , meg- 
hív" — magyarázta a szakember. 
Ebben az esetben a szabványok 
az egyes részfeladatok ellátását, 
működési körülményeit szabá- 
lyozzák. A fenti példánál marad- 
va: a kazánégő vezérlésével kap- 
csolatos paramétereket az EN 
298-as szabvány határozza meg, 
amelyik viszont meghívja az EN 
60730-as szabványt -— ez a háztar- 
tási eszközök vezérlésével szem- 
ben támaszt határozott követel- 
ményeket. — Ebben az esetben az 


ellenőrzött minőségen elsősorban 
a felhasználási biztonságot ért- 
jük. Hiszen egy robbanás esetén 
épületek dőlhetnek össze, és em- 
beréletek kerülhetnek veszélybe, 
így nem köthetünk kompromisz- 
szumokat ezeken a területeken — 
húzta alá Szentpály. 


rá, hogy az eszköz megbízhatóan 
üzemelhet, és baj esetén lehető- 
vé teszi a szükséges válságkezelési 
megoldásokat. 

A független vizsgáló intézetek, 
mint például a Magyar Elektro- 
technikai Ellenőrző Intézet 
Kft. (MEEJ), amely a TÜV 


, A minőségbiztosítás 
célja, hogy állandó 
minőségű termékek, 
szolgáltatások jelenhes- 
senek meg a piacon. 


Szentpály Miklós 
TÜV/MEEI 


AKKREDITÁLT, FÜGGETLEN 
SZERVEZETEK 

Egy szabványon belül sokszor 
több száz szabványpontot is meg- 
fogalmaznak az illetékes szerve- 
zetek; ezek elfogadható megol- 
dásokat, követelményeket, alter- 
natív lehetőségeket tartalmaznak 
a gyártók számára azzal kapcso- 
latban, milyen megoldásokat al- 
kalmazhatnak az eszközök ki- 
alakításánál. Abban az esetben, 
ha a gyártó az összes vonatko- 

zó ajánlást betartotta, jó esély van 


Rheinland-csoport tagja, feladata, 
hogy mint akkreditált szervezet 
elvégezze a vonatkozó vizsgálato- 
kat — ellenőrizze, hogy a vizsgált 
gyártó kérdéses terméke megfe- 
lel-e a vonatkozó szabványoknak. 
Ehhez a gyakorlatban - például az 
előbb említett kazánvezérlés ese- 
tében -— a szakembereknek szám- 
talan mechanikai és elektrotech- 
nikai mérést kell elvégezniük. , Ez 
többek között azt is jelenti, hogy 
az eszköz tervezőinek működési és 
kockázatelemzést kell készíteniük, 
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és fel kellett mérniük, milyen mó- 
don kezelhetik a használat során 
fellépő lehetséges kockázatokat" — 
hangsúlyozta a vizsgálómérnök. 

A tervezők felméréseik eredmé- 
nyeinek megfelelően alakítják ki az 
alkalmazott megoldásokat, ame- 
lyek segítségével ezeket a kocká- 
zatokat kezelni lehet. Az elképze- 
lést végül egy működési terv kere- 
tében vázolják fel, amely az adott 
eszköz funkcionális és biztonsá- 
gi feladatait összegzi. Az összegzés 
alapján elkészül egy szoftver fo- 
lyamatábra (flow chart), definiálják 
a szükséges hardverkörnyezetet, 
majd a flow chartban vázolt szem- 
pontok szerint kódolják, elkészítik 
a működtetéshez szükséges, opti- 
malizált szoftvereket. 

, A minőségbiztosítási szakem- 
bereknek egy ilyen eszköz ellen- 
őrzésekor meg kell vizsgálniuk 
a flow chartot, és magát a prog- 
ramotis sorról sorra ellenőrizni- 
ük kell, összevetve természetesen 
a vonatkozó szabványokkal? — tet- 
te hozzá Szentpály. 


BIZTOSÍTOTT MINŐSÉG MINT 
HOZZÁADOTT ÜZLETI ÉRTÉK 

A minőségbiztosításnak minden- 
képpen versenyelőnyökkel kell jár- 
nia — ez a bevett piaci gyakorlat. 

A minőségi tanúsítványok egyfajta 
,presztizsértéket"? is képviselnek 
egy vállalat, gyártó számára. Eb- 
ben az esetben kerül előtérbe az 
ISO 9001-es, általánosan elfoga- 
dott minőségbiztosítási alaprend- 


szer. Ha egy cég, szervezet ilyen 
minősítést kapott, tudható, hogy 
a belső folyamatok, a termék-elő- 
állítás kontrolláltan zajlik; valószí- 
nűsíthető, hogy megbízható minő- 
ségű termék fog lekerülni a gyár- 
tósorairól. , Önmagában ez inkább 
a termék egyenletes, ellenőrzött 
minőségét, megbízhatóságát sza- 
vatolja — a teljesítményét, színvo- 
nalát nem feltétlenül garantálja az 
ISO 9001-es minősítés"? — mondta 
a szakember. A minőségbiztosítá- 
si vizsgálat csak abban az esetben 
tanúsíthatja egy termék kvalitása- 
it, ha az arra vonatkozó termék- 
szabvány tartalmaz ilyen irányú 
előírásokat, ha a gyártónak gondja 
van arra, hogy tanúsítottan jó mi- 
nőségű termékeket dobjon piacra. 
A termék összetettségétől, jellegé- 
től függően az egyes szabványok 
problémaközelítése is más és más. 
Belátható, hogy az első pél- 
dánknál, a kazánvezérlőnél em- 
lített hosszadalmas, részletekbe 
menő vizsgálat nem minden eset- 
ben végezhető el. Sok olyan szisz- 
téma van, amely több száz ha- 
sonlóan bonyolult alrendszer- 
ből áll, ezeket egész egyszerű- 
en képtelenség lenne bitről bitre, 
programsorról programsorra el- 
lenőrizni. Ezért a hasonlóan bo- 
nyolult rendszerek vizsgálatára 
másfajta szabványközelítések is 


a szakértők rendelkezésére állnak. 


- A kazán égővezérlésének ese- 
tében egy analitikus, vizsgáló 
megközelítést, mérő jellegű szab- 


ványt mutattunk be. Ebben az 
esetben a szabvány valamennyi 
pontját és az azokban meghatáro- 
zott paramétereket kell igen szi- 
gorúan ellenőrizni — magyaráz- 
ta Szentpály Miklós. — De isme- 
rünk , audit jellegű" szabványokat 
is: ezeknél nem feltétlenül vizs- 
gáljuk, elemezzük teljes mélysé- 
gében az adott programok össze- 
tevőit, inkább az előállítási, fej- 
lesztési, dokumentálási eljárásokat 
igyekszünk a lehető legpontosab- 
ban meghatározni. 

A technológia fejlődésével a szab- 
ványok is fejlődnek. A szakembe- 
rek folyamatos kapcsolatot tar- 
tanak a gyártókkal és rajtuk ke- 
resztül a fogyasztókkal, így meg- 
ismerkedhetnek azokkal a szem- 
pontokkal, igényekkel, amelyek 
segítségével a szabványgondozó 
szakmai testületek tökéletesítik, 
fejlesztik a vonatkozó direktí- 
vákat, ajánlásokat. Ennek kö- 
szönhető, hogy egyre jobb, 
szofisztikáltabb szabványverziók 
látnak napvilágot. Az audit jelle- 
gű szabványok például azt a gyár- 
tási, előállítási folyamatot pró- 
bálják a lehető legaprólékosab- 
ban körülírni, amelyen keresztül 
a gyártó garantálhatja az elké- 
szült termékek minőségét. 


GAZDASÁGI ÉS KORMÁNYZATI- 
KÖZIGAZGATÁSI IT-RENDSZEREK 
MINŐSÉG-ELLENŐRZÉSE 
$ok esetben nem termékek, hanem 
egész rendszerek, szervezetek mi- 
nőség-ellenőrzését kell elvégezniük 
a szakembereknek. Egy komplett vál- 
lalati, a szervezet informatikai hátte- 
rét biztosító II-rendszer minőségét 
is folyamatosan vizsgálniuk kell. 

-— Az ISO 27001-es nemzetkö- 
zi szabvány például egyre elterjed- 
tebb — mondta Szentpály. — Ezen 
keresztül szabályozzák, és mi en- 
nek segítségével auditáljuk egy 
vállalat informatikai rendszer inf- 
rastruktúráját; különös tekintettel 
az adatvédelemre, a működés foly- 
tonosságára (business continuity — 
üzletmenet-folytonosság), az adat- 
integritásra, az adatbiztonságra, 
a dolgozók informatikai tudatos- 
ságának, felkészültségének vizs- 
gálatára — ezek mind-mind na- 
gyon lényeges tényezők egy válla- 
lat szempontjából. 


A V-modell" 


Az sw minőségbiztosítás 

a fejlesztők számára egyik fontos 
módszere az úgynevezett V-mo- 

dell. Ez nem más, mint analitikus 

és integrációs eljárások összessé- 
ge, amelynek során a szakemberek 
jól meghatározható részegységek- 
re bontják a feladatokat (a V egyik 
szára) , majd minden részegységnek 
meghatározzák bemeneti és kimene- 
ti paramétereit. 

A részegységek kifejlesztését köve- 
tően ellenőrzik, hogy az adott mo- 
dulok megfelelnek-e a velük kap- 
csolatban támasztott elvárásoknak. 
Amennyiben nem, újra és újra kidol- 
gozzák az adott modulokat, egészen 
addig, amíg megfelelővé válnak. 

AV másik szára az integráció , 
amelynek során a fejlesztők eljutnak 
a végső eredményig — a működő mo- 
dellig, kész termékig. Az eljárás s0- 
rán végig verifikációs és validációs 
folyamatokat végeznek: ellenőrzik, 
hogy az egyes részegységek megfe- 
leltek-e a szabványok vagy a fejlesztő 
által támasztott követelményeknek, 
paramétereknek, illetve a használha- 
tósági elvárásoknak. 


A vázolt folyamat tulajdonkép- 
pen komplex szervezeti auditálást 
takar. Nagy előnye, hogy a vizs- 
gált cég — amely a vonatkozó ta- 
núsítvány megszerzése esetén bi- 
zonyítottan nagy hangsúlyt fektet 
arra, hogy megbízhatóan alakítsa 
ki a saját informatikai rendszerét, 
tehát nagy valószínűséggel maga is 
megbízhatóan működik - jó esély- 
lyel fordulhasson hitelért a ban- 
kokhoz, hitelintézetekhez, indul- 
hasson különféle kormányzati és 
európai uniós pályázatokon és 
multinacionális cégek beszállítója- 
ként dolgozhasson. 

A több millió állampolgár ada- 
tait kezelő kormányzati, közigaz- 
gatási rendszereknek — mint pél- 
dául az Ügyfélkapunak - is ha- 
sonló ellenőrzéseken kell átesniük. 
Természetesen, hiszen elvárható, 
hogy a felhasználók személyes és 
üzleti adatait teljes biztonsággal és 
diszkrécióval kezelje a rendszer. 

Egy, az ISO 27001-eshez hasonló 
szabvány számtalan kontrollt tar- 
talmaz, amelyek különböző infor- 
matikai feladatok megoldását sza- 
bályozzák. A szervezet méreté- 
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től és a rendszerben kezelt adatok 
fontosságától függően meghatá- 
rozzák az üzletmenetre vonatkozó 
legfontosabb paramétereket, felvá- 
zolják a kapcsolódó — IT-rendszer 
felépítését és működtetését meg- 
határozó - intézkedések körét. 

Egy nagy megbízhatóságú, fon- 
tos adatokat kezelő rendszer ese- 
tében például földrajzilag is jól el- 
különülő, egymástól meghatáro- 
zott távolságra lévő adatközpon- 
tokban kell tárolni a különféle 
információkat; biztosítani kell az 
adatközpontok közötti nagy se- 
bességű, védett hálózatokon ke- 
resztül történő kommunikációt, 
az adatok mentésének feltétele- 
it és körülményeit. Fontos szem- 
pont, hogy folyamatosan ellen- 
őrizzék az informatikai rendsze- 
ren belül dolgozó munkavállalók 
képzettségét, jogosultságait; meg- 
határozott szempontok szerint és 
rendszerességgel gondoskodjanak 
a rendszer nem informatikus, de 
az információkat kezelő alkalma- 
zottjainak felkészítéséről, tovább- 
képzéséről; meghatározzák a be- 
szerzésre, a különféle szoftverek 
lítókkal kötött szerződések felté- 
teleire vonatkozó szabályozókat is. 

-— A kapcsolódó szabványok na- 
gyon nagy odafigyeléssel, rész- 
letekbe menően szabályozzák 
mindezeket a feltételeket. Egy 
auditnak, illetve az auditálást 
végző cég szakembereinek pedig 
az a feladatuk, hogy a vázolt, bo- 
nyolult szempontrendszer szerint 
a szabványok ajánlásait összeves- 
sék a vizsgált rendszerek tény- 
leges működésével - fejtette ki 
a szakember. 

- A hasonlóan komplex vizsgá- 
latokat komoly előkészítési fázis 
előzi meg, amely során felmérjük, 
milyen szervezettel állunk szem- 
ben, a vizsgált entitás milyen szá- 
mítógépes szisztémával rendelke- 
zik — mondta. — A bekért adatok 
birtokában felkészülünk az audi- 
tálásra, auditálási tervet készí- 
tünk, majd ennek alapján elvégez- 
zük magát a vizsgálatot. A vizsgá- 
lat során rengeteg riportot készí- 
tünk a szervezet különböző szintű 
vezetőivel és dolgozóival, a vállalat 
menedzsmentjével és informatikai 
irányítóival. Vizsgáljuk a rendszer 


fizikai és szoftveres felépítését, az 
adatkommunikációs megoldások 
megbízhatóságát, a kockázatkeze- 
lési rendszereket és számtalan más 
tényezőt. Ennek során nagyszámú 
dokumentációt kell áttekintenünk, 
hiszen minőség-ellenőrzési szem- 
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Magyarországon 

a minőségbiztosítási 
eljárásoknak komoly 
kultúrája alakult 

ki a szervezetek 
körébent. 


pontból kulcskérdés a folyamatok, 
intézkedések, tények pontos rögzí- 
tése és nyomon követése. 

A vizsgálat nyomán a szakembe- 
rek auditálási jegyzőkönyvet ké- 
szítenek, amelyből egyértelműen 
kiolvasható, milyen mértékben fe- 
lel meg a vizsgált rendszer a szab- 
ványajánlásoknak; milyen pon- 
tokon és hogyan kell módosítani 
a működésen ahhoz, hogy megfe- 
leljen a hazai és nemzetközileg el- 
fogadott normáknak. Van, amikor 
a tapasztalt eltérések tolerálhatók, 
de az is előfordulhat, hogy olyan 
hiányosságokat tapasztalnak, ame- 
lyek már túlmennek az adott szab- 
vány , tűréshatárán". Ilyen ese- 
tekben a vizsgált intézmény ad- 
dig nem kaphatja meg a minőség- 
ellenőrzési tanúsítványt, amíg el 
nem végzi az auditorok által java- 
solt változtatásokat. 

- Egy ilyen komplexitású rend- 
szer vizsgálata, a szervezeti nagy- 
ságtól függően az egy-két hetes 
procedúrától a kimerítő, féléves, 
éves vizsgálatsorozatig is terjed- 


het. Arról nem is beszélve, hogy 
egy nagyobb, sok, egymással in- 
formatikai kapcsolatban álló 
telephellyel rendelkező szerve- 
zet felkészítése egy ilyen auditra 
már önmagában is hosszú, sok 
hónapos folyamat - részletezte 
Szentpály. 

Annál is inkább, mivel a hasonló 
vizsgálatoknak sok esetben ko- 
moly anyagi kihatásai is vannak: 

a munkavállalók továbbképzése, 
a szükséges hardver- és szoftver- 
beruházások pénz- és időigényes 
feladatokat rónak az auditálás 
előtt álló szervezetekre. 

- Több ezer szabvány van. Ezek 
különféle paramétereket próbál- 
nak megállapítani. Ha egy nagy- 
méretű szervezetnek például jó az 
ISO 27001-es ISMS auditja, ak- 
kor ez azt jelenti, hogy az érintett 
szervezetnek valóban jó minőségű 
informatikai szolgáltató rendsze- 
re van — mondta a vizsgálómér- 
nök. Szentpály Miklós hozzátet- 
te: egy termék, szolgáltatás vagy 
rendszer szabványmegfelelősége 
és felhasználhatósága nem min- 
den esetben korrelál. — Minél ösz- 
szetettebb egy termék, annál ösz- 
szetettebb az értékelése is — hang- 
súlyozta. — Vannak olyan esetek, 
amikor az előírások nem rögzítik 
pontosan egy termék valamennyi 
lehetséges paraméterét: ebben az 
esetben azok a tulajdonságok , ga- 
rantáltak", amelyek a szabvány- 
hoz köthetők. 


MINŐSÉGBIZTOSÍTÁS A HAZAI 
KÖRNYEZETBEN 

Magyarországon a minőségbiz- 
tosítási eljárásoknak már ko- 
moly kultúrája alakult ki. Kisebb 
és nagyobb szervezetek egyaránt 
igénybe veszik a független minő- 
sítő szervezetek szolgáltatásait. 


IFÓKUSZI 


- Egyre több olyan cég van a ha- 
zai piacon, amely fontosnak tart- 
ja, hogy rendelkezzen a különféle 
minőségbiztosítási tanúsítvá- 
nyokkal. Például azok a vállala- 
tok, amelyek elsősorban exportte- 
vékenységet folytatnak vagy mé- 
retüknél, tevékenységi körüknél 
fogva fontosnak tartják, hogy egy 
független szervezet tanúsítsa: ter- 
mékeik, szolgáltatásaik megfe- 
lelnek a hatályos szabványoknak 
— mondta Szentpály Miklós hoz- 
zátéve: amellett, hogy a minő- 
ségbiztosítási bizonyítvány meg- 
szerzése a szervezetek részéről 
egyfajta igényességet jelent a saját 
termékeikkel, tevékenységükkel 
kapcsolatban, sok esetben a mű- 
ködésük alapfeltételül is szolgál. 
— Egyes esetekben elkerülhetetlen, 
hogy a vizsgált termékek, szolgál- 
tatások megfeleljenek a hatósá- 

gi előírásoknak, szabványoknak — 
hangsúlyozta a tesztmérnök. 

A szabványmegfeleltetési vizs- 
gálatokat piaci érdekből és — 
egyes kiemelten szabályozott te- 
rületek esetén -— a hatósági előírá- 
sokban rögzített feltételeknek va- 
ló megfelelés kényszere okán is 
kérhetik a szervezetek. , Piaci ori- 
entáció szempontjából a verseny- 
képesség, az eladhatóság számít" 
— húzta alá Szentpály. 

A tapasztalatok szerint a hazai 
cégek egyre fontosabbnak tart- 
ják, hogy megszerezzék a külön- 
féle, nemzetközileg elismert mi- 
nősítéseket. Ez különösen fontos 
szempont lehet azoknál az a szer- 
vezeteknél, amelyek különféle 
kormányzati és uniós tendereken 
indulnak. , Sok esetben indulási 
feltételnek számítanak a különféle 
szabványmegfelelőségek" — zárta 
a beszélgetést a TU V/MEEI pro- 
jektmenedzsere. A 


Nemzetközi, uniós és hazai szabványok 


A nemzetközi és uniós szabványok honosítását, valamint 

a hazai szabványok kidolgozását a Magyar Szabványügyi 1 es- 
tület (MSZT) végzi. Az MSZT honlapjára látogatók az ott ta- 
lálható direktívák alapján tájékozódhatnak arról, hogy az egyes 
területeket, részterületeket milyen szabványok szabályozzák. 
Tovább árnyalja, bonyolítja a helyzetet, hogy a szabványok sok 
esetben más szabványokat is , meghívnak". A programozha- 

tó orvosi, gyógyászati eszközök esetében például vannak olyan 
elvárások, amelyek konkrétan azzal foglalkoznak, hogy az in- 


formatikusoknak milyen feltételeket kell figyelembe venniük 
a szoftverfejlesztés során. 

A hazai minőségbiztosító testületek által kiállított tanúsítványo- 
kat külföldön is elfogadják. A független minősítő szervezeteket 
egy jól áttekinthető rendszeren belül, nemzetközileg is nyilván- 
tartják. Ezeket az intézményeket egy speciális szervezeti rend- 
ben, folyamatosan ellenőrzik, és időről időre megújítják az adott 
szabványokkal kapcsolatos akkreditációjukat. Ezzel országos 
szinten a Nemzeti Akkreditációs Testület (NAT) foglalkozik. 
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NÉlÉSEK ellen 


UV k € lésrelés a kockázatkezelésre, mint egy alulról építkező 
dokumentációs és auditálási gyakorlatra. Mostanra azonban ez a szemlélet nagyrészt megváltozott, mivel a vállalatvezetők 


a megfelelést szolgáló erőforrásokat a legnagyobb kockázatnak kitett kontrollcélokra csoportosítják át. Az átrendezéshez szükséges 
beruházásaiktól azonban nagyobb megtérülést, az üzletnek adott értéket is várnak. Írta: Kis Endre 


Gartner szerint a GRC — 
az irányítás, kockázatke- 
zelés és törvényi megfele- 


lés — támogatására szolgáló meg- 
oldások kategóriájában a kont- 
rollok folyamatos monitorozását 
megvalósító CCM-eszközök fel- 
jövőben levő technológiát képvi- 
selnek. A piacelemző idén már- 
ciusban közreadott elemzésében 
(Magic Ouadrant for Continuous 
Controls Monitoring) azokra az 
előnyökre is rámutat, amelyek- 
nek ezek az eszközök térhódí- 
tásukat köszönhetik. Az ERP- 
rendszerekben és más pénzügyi 
alkalmazásokban beállított kont- 
rollok automatikus figyelésével, 
a pénzügyi tranzakciókra vonat- 
kozó szabályok érvényre jutásá- 
nak folyamatos ellenőrzésével 

a vállalatok nemcsak a visszaélé- 
sek ellen védekezhetnek hatéko- 
nyabban, hanem az auditálással 
járó költségeket is csökkenthetik. 


CCM - MŰKÖDÉS KÖZBEN 

A CCM szoftver az ERP-rend- 
szerekben és más pénzügyi alkal- 
mazásokban kezelt adatokat 
elemzi az előírásokhoz, az üzleti 
szabályokhoz és a beépített alkal- 
mazáskontrollokhoz képest je- 
lentkező kivételek észlelése érde- 
kében. A eszközök funkcionali- 
tása a folyamatos monitorozástól 


kezdve a kivételkezelésen és a je- 
lentéskészítésen át a munkafolya- 
mat-támogatásig terjed. 

A kontrollok monitorozása so- 
rán a CCM-eszköz megadott idő- 
szakonként automatikusan adato- 
kat importál az ERP-rendszerből 
és a pénzügyi alkalmazásokból, 
majd azokat az előre megadott 
módon auditálja. Az elemzés so- 
rán talált kivételek kezelését nap- 
lózza, a munkafolyamat egészét 
pedig értesítések és riasztások 
küldésével, a felülvizsgálat és 
a jóváhagyás lépéseinek támoga- 
tásával nagymértékben automati- 
zálhatóvá teszi. A riportkészítő és 
analitikai funkciók a trendelem- 
zések és audit jelentések, a gyors 
áttekintést biztosító műszerfalak 
elkészítését segítik. 

Mivel a CCM-piac még fejlő- 
désének korai szakaszánál tart, 
sok szállító egyelőre vagy rész- 
megoldást kínál ezen a területen, 
vagy egy adott ERP-rendszerhez 
fejleszti eszközeit, amelyek így 
kevésbé használhatók a különbö- 
ző pénzügyi alkalmazásokkal. 

Ennek hátterében az áll, hogy 
a CCM-eszközöket homogén 
ERP-környezetben lehet a leg- 
egyszerűbben és legolcsóbban 
bevezetni, amelyhez a szállító 
előre konfigurált integrációs 
pontokat és kontrollkönyvtárat 


ad. Amikor a vállalat pénzügyi 
folyamatai több rendszeren, kü- 
lönböző szállítóktól származó 
ERP- és más üzleti alkalmazáso- 
kon ívelnek át, a kontrollok testre 
szabása és az alkalmazásintegrá- 
ció növeli a bevezetés költségeit. 
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Mivel a ELM-piac 
még fejlődésének ko- 
rai szakaszánál tart, 
sok szállító egyelőre 
részmegoldást kínál 
ezen a területen... 


A Gartner szerint ilyenkor ér- 
demes megvizsgálni, hogy egy 
egységes ERP-környezetre való 
átállás milyen költségekkel járna. 
Az is megoldás lehet, ha a válla- 
lat a CCM-eszközöket más in- 
tegrációs technológiákkal - pél- 
dául folyamatmenedzsment esz- 
közökkel -— együtt használja, 
amelyekkel automatizálható az 
adatok összegyűjtése a különböző 
rendszerekből. 


KÉT SZÁMJEGYŰ NÖVEKEDÉS 
A ma még viszonylag kis méretű 
CCM-piacon az összeférhetet- 


lenség kezelésére szolgáló CCM- 
SOD Gegregation of duties) esz- 
közök részesedése 25 százalékos, 
míg a tranzakciók monitorozá- 
sát megvalósító és újabban egy- 
re több figyelmet élvező CCM-T 
eszközöké a 10 százalékot sem 
éri el. Figyelemre méltó azon- 
ban, hogy 2009-ben, a gazda- 
sági válság idején a CCM-piac 
két számjegyű növekedést ért el. 
A Gartner adatai szerint néhány 
kisebb, erre a területre szakoso- 
dott szállító tavaly megdupláz- 
ta licencértékesítésből származó 
bevételeit, de a piac nagyobb sze- 
replői is 10-30 százalékos növe- 
kedést könyvelhettek el. 

A CCM-szállítók adatai alapján 
a piac hozzávetőleg 70 százalé- 
kát Észak-Amerika teszi ki, Euró- 
pa részesedése egyelőre 20 szá- 
zalékos, míg a világ más térsége- 
ire összesen 10 százalék jut. Ezen 
a tortaszeleten belül több szál- 
lító is Ausztráliát és Brazíliát je- 
lölte meg feltörekvő piacként. 
Az iparági trendeket tekintve 
a CCM-SOD értékesítések nem 
mutattak vertikális fókuszt, míg 
a CCM-I eszközök legaktívabb 
vásárlói a bankok voltak az el- 
múlt évben. Mellettük néhány 
nagyobb önkormányzat is közbe- 
szerzési eljárást indított CCM- 
eszközök bevezetésére azzal 
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a céllal, hogy hatékonyabbá te- 
gye az auditorok munkáját. 

A nagyvállalatok 2008 vége fe- 
lé kezdtek komolyabban foglal- 
kozni azzal a gondolattal, hogy 
az összeférhetetlenség kezelésére 
összpontosító CCM-SOD kont- 
rollkörnyezetüket CCM-T esz- 
közökkel kiterjesszék a tranz- 
akciók területére is. A Gartner 
megjegyzi, hogy az Egyesült Al- 
lamokban a közelmúltig a SOX 
(Sarbanes Oxley) törvénynek való 
megfelelést vizsgáló auditorok 
sem szenteltek akkora figyel- 
met a tranzakcióskontroll- 
monitorozásnak, mint az össze- 
férhetetlenség-kezelésnek. A leg- 
újabb korrupcióellenes szabályo- 
zások -— mint amilyen a Forcign 
Corrupt Practices Act az Egye- 
sült Allamokban vagy a Gesetz 
zur Bekümpfung der Korruption 
Németországban - változtattak 
ezen, így az érdeklődés a CCM-T 
eszközök felé fordult. 

Másfelől számos vállalat hosz- 
szú időn át úgy tekintett a törvé- 
nyi megfelelésre és a kockázatke- 
zelésre, mint egy alulról építkező 
dokumentációs és auditálási 
gyakorlatra. Mostanra azonban 
ez a szemlélet nagyrészt meg- 
változott, mivel a vállalatveze- 
tők a megfelelést szolgáló erőfor- 
rásokat a legnagyobb kockázat- 
nak kitett kontrollcélokra cso- 
portosítják át. Az átrendezéshez 
szükséges GRC-beruházásaiktól 
azonban a döntéshozók nagyobb 
megtérülést is várnak. A kontrol- 
lok folyamatos monitorozására 
szolgáló eszközök képesek előál- 
lítani ezt az üzleti értéket. 


INTEGRÁLT KONTROLLKÖRNYEZET 
A CCM-piacot feltérképező má- 
gikus négyzetében a Gartner 

két szállítót emel ki vezetőként. 
A piacelemző megállapítja, hogy 
mind az SAP, mind az Oracle 
évek óta markáns jelenléttel bír 
ezen a területen. Az idén már- 
ciusban kiadott elemzés szerint 
egyelőre nincs is komoly kihívó- 
juk, mivel abban a többi szereplő 
réspiaci besorolást kapott. Az 
SAP és az Oracle egyaránt nö- 
vekedési potenciált lát a CCM- 
megoldásokban, amit az is mutat, 
hogy mindkét cég növelte 


a fejlesztésükre és értékesíté- 
sükre irányuló beruházásait. 

A Gartner arra is kitér a két pi- 
acvezető kínálatát illetően, hogy 
a CCM-eszközök pozicionálása 
az átfogóbb GRC-portfólión be- 
lül lehetne könnyebben értel- 
mezhető is. A piacelemző szerint 
az Oracle valamelyest lemaradt 

a más szállítóktól származó ERP- 
rendszerekkel - és néhány saját, 
például JD Edwards alkalmazá- 
sával — történő integráció terén, 
míg az SAP ugyanezt a standard 
licenc részeként kínálja CCM- 
eszközeihez. 

- A vállalatoknál általában mű- 
ködik valamilyen kontrollkörnye- 
zet, de ez sok esetben manuális 
és követő jellegű, a kijelölt kont- 
rollpontok bizonyos időközön- 
ként történő tesztelését jelenti — 
mondta Pintér Szabolcs, az SAP 
Hungary BI-üzletágának vezető- 
je. — Ilyen kontrollpont-tesztelés 
lehet például, amikor ezer szállí- 
tói számlából tízet kiragadva el- 
lenőriznek abban a tekintetben, 
hogy a rendszerben lévő adatok 
és a papírforma között mutat- 
kozik-e eltérés. Egy GRC-megol- 
dásra épülő, egységes kontroll- 
környezetben ezzel szemben 
a kontrollpontok tesztelése fo- 
lyamatos, mivel a célrendszerek- 
ben végbemenő tranzakciók, az 
ezek során kezelt adatok és a rá- 
juk vonatkozó hozzáférési jogo- 
sultságok ellenőrzése a háttér- 
ben, automatikusan végbemegy. 
Ennek a környezetnek a kialakí- 
tását megkönnyíti, hogy GRC- 
megoldásunk integrációs ponto- 
kat tartalmaz az ERP-rendszer és 
mindazon üzleti alkalmazások, 
például a beszerzési vagy bér- 
számfejtési rendszer felé, amelyek 
esetében releváns lehet a kontrol- 
lok folyamatos monitorozása. 

Az SAP GRC-megoldása 
a BusinessObjects portfólió ré- 
sze, és több olyan, egymással in- 
tegrált termékből épül fel, amely- 
lyel a vállalat automatizálhatja 
a GRC-folyamatokat a vállalati 
irányítás és átláthatóság, a kocká- 
zatkezelés, a megfeleléskezelés és 
a hatékony jelentéskészítés terén. 
A CCM vonatkozásában az SAP 
BusinessObjects Process Control 
az üzleti folyamatok kontrolljai- 
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nak hatékony kezelésével segíti 

a kontrollkörnyezet kialakítását 
és a megfelelőség biztosítását. 
Ehhez több mint kétszáz, előre 
definiált kontrollt kínál, amelyek 
beüzemelése rendkívül egyszerű, 
pár kattintással elvégezhető. Az 
SAP BusinessObjects Access 
Controll pedig a jogosultságok- 
kal kapcsolatos kockázatok észle- 
lésén keresztül támogatja az ösz- 


,A vállalatoknál általá- 
ban működik valamilyen 
kontrollkörnyezet..." 


Pintér Szabolcs 
BI-ÜZLETÁGVEZETŐ, SAP HUNGARY 
fr —————— e ——fTl 


szeférhetetlenség kezelését (SoD) 
és a visszaélésekből származó 
károk megelőzését a heterogén 
II-rendszerekből felépülő kör- 
nyezetben. 

— Szervezeti oldalon a vállalat 
felelősöket bíz meg a kontroll- 
pontok tesztelésével — mutatott 
rá Pintér Szabolcs. — Számukra 
fontos, hogy a teszteredményeket 
könnyen áttekinthessék és pre- 
zentálhassák a vezetők felé. GRC 
keretrendszerünk ezért egyrészt 
e-mailben riasztást küld számuk- 
ra, ha a figyelt kontrollok alapján 
a tranzakciók során sérül vala- 
mely szabály. Másrészt több mint 
ötven, beépített riportot is tar- 
talmaz, a BusinessObjects adat- 
kinyerő eszközeivel pedig további 
jelentések is készíthetők hozzá, 
egyedi igények szerint. 

A GRC-eszközök alkalmazá- 
sából fakadó üzleti előnyök több 
téren is megmutatkozhatnak. 
Egy ilyen megoldás a kontroll- 
tesztelés automatizálásával na- 
gyobb lefedettséget biztosít, ke- 
vesebb erőforrásigény mellett, 


így az üzleti teljesítmény javítá- 
sában is szerephez jut. Közvetett 
módon pedig az elkerült szabály- 
sértésekből, visszaélésekből szár- 
mazó károktól vagy bírságokkal 
járó költségektől is megkíméli 

a vállalatot. 

- A GRC területe nem új, de ma 
sokkal inkább az érdeklődés hom- 
lokterébe került, ami a közelmúlt- 
ban leleplezett nemzetközi és 
hazai visszaélések, valamint 
a gazdasági válság hatásával is 
magyarázható -— fejtette ki az üz- 
letágvezető. — A vállalatok mos- 
tanra értették meg igazán a fo- 
lyamatos kontrollmonitorozás 
szükségességét, ezért mondhat- 
juk, hogy a CCM-eszközök ese- 
tében viszonylag új piacról van 
szó, amelyet korábban a piac- 
elemzők sem mértek külön. 

Az érdeklődés mértékére utal, 
hogy az SAP világszerte már 
több mint kétezer ügyfelénél ve- 
zette be CCM-eszközeit. Ezek 
általában nagyvállalatok a pénz- 
ügyi és a távközlési szektorból, 
valamint a közműszolgáltatás és 
a kereskedelem területéről. 

— Itthon is tapasztaljuk, hogy 
a vállalatok megnövekedett ér- 
deklődéssel fordulnak a GRC- és 
a CCM-megoldások felé — mond- 
ta Pintér Szabolcs. — A hazai 
nagyvállalati ERP-piacon elfog- 
lalt, meghatározó pozíciójához 
hasonlóan az SAP ezen a téren 
is vezető szállító. Magyarorszá- 
gon az Audi, a GE és a MOL is 
GRC-megoldásunkat használja, 
amelyet idén egy nagy közmű- 
vállalatnál is hamarosan beveze- 
tünk, és több ügyfelünkkel jelen- 
leg is tárgyalásokat folytatunk. 
Az értékesítés terén auditor cé- 
gekkel dolgozunk együtt, mi- 
vel egy ilyen bevezetést az I[- 
oldal helyett célszerűbb a válla- 
lat pénzügyi, kontrolling terüle- 
téről indítani. 

A Gartner elemzésében arra 
is kitér, hogy az SAP még az 
idén megújítja teljes GRC- 
egyes alkalmazások friss verziói 
még szorosabb integrációs, erő- 
teljesebb vizualizációs képessé- 
gekkel érkeznek majd, és a mun- 
kafolyamatokhoz is nagyobb tá- 
mogatást fognak adni. 41 
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A szolgáltató érdekképviselet 


Május 6-án az Informatikai Vállalkozások Szövetségének rendes évi közgyűlése meggyőző 
többséggel választotta elnökké Laufer Tamást. Az új elnököt terveiről, az IVSZ jövőbeni 
szerepéről kérdeztük. Irta: Dervenkár István 


z IVSZ-nek szolgáltató ér- 
A dekképviseletként kell mű- 

ködnie — fogalmazott Laufer 
Tamás az IVSZ honlapján is közzé- 
tett programjában. Csak így érhető 
el ugyanis, hogy a magyar GDP-nek 
megközelítőleg 15 százalékát adó 
IK1-szektor jelentőségének és gaz- 
dasági súlyának megfelelően tudja 
befolyásolni az iparágat és a gazdaság 
egészét érintő döntéseket. 

— Orvendetesnek tartom, hogy az 
IVSZ-en belül a klasszikus informa- 
tika mellett megerősödött a telekom 
és az elektronikai gyártás képvisele- 
te, hiszen így a szervezetet erősítik 
a konvergens iparágak 
is. Ezáltal az IVSZ 
tagvállalatai mintegy 
négyezermilliárd forin- 
tos éves árbevételt kép- 
viselnek. Ha a gazda- 
ságban ennyire meg- 
határozó az a cégkör, 


amelyet az IVSZ kép- 

visel, akkor úgy vé- Laufer 
lem, a véleményüknek Tamás 
is meghatározónak kell elnük 


lennie. Ezért fontos, 
hogy az iparág képvi- 
seletét, fejlesztését pro- 
fesszionálisabb alapok- 
ra helyezzük — kezdte a beszélgetést 
Laufer Tamás. 


Computerworlid: Mit ért a professzio- 
nálisabb érdekképviseleten? 

Laufer Tamás: Mindenekelőtt azt, 
hogy kamara típusú szolgáltatáso- 
kat kell biztosítani tagvállalataink ré- 
szére, és kamaraként kell viszonyul- 
nunk a környezetünkhöz. Környezeti 
tényező például maga a kormányzat, 
amely nagyon fontos, hiszen ahogy 
azt programbeszédemben is elmond- 
tam, az II-piac több mint 50 száza- 
lékát a kormányzati megrendelések 
jelentik, részben közvetlenül az ál- 
lami intézményeken, részben az eu- 
rópai uniós források szétosztásán ke- 
resztül. Ezért fontos, hogy ne csak 
egy civil szereplője legyünk a társa- 
dalomnak, amellyel a kormány, ha 
akar, kommunikál, de ha nem akar, 


Informnatikai Vállal- 
kozások Szövetsége 


akkor sem történik semmi. Ott kell 
lennünk, ahol a források elosztásáról 
döntenek, ahol az elosztást ellenőrzik 
és így tovább. 


CW: A kamarai működéshez kell pénz 
és szakember. 

L. T.: Igen. Hiszen iparági felmérése- 
ket kell készítenünk, bele kell foly- 
nunk az iparággal kapcsolatos okta- 
tási és a munkapolitikai kérdésekbe. 
Ennek a munkának a fejében azon- 
ban joggal számíthatunk költségveté- 
si támogatásra. Ez lehet az egyik for- 
rása. A másik pedig az Európai Unió 
pályázatai olyan EU-s projektekben, 
amelyek egyeznek szö- 
vetségünk céljaival. Eh- 
hez szakemberekkel kell 
erősíteni az IVSZ-irodát, 
projektmenedzserekkel, 
akik magasabb szolgálta- 
tási szintet tudnak bizto- 
sítani a munkacsoportok- 
nak. A munkacsoportok 
így jobb minőségű felmé- 
réseket, standardokat tud- 
nak előállítani, amelyek 
viszont képesek támogat- 
ni az államigazgatás mun- 
káját. Ez beindíthat egy 
pozitív folyamatot: az ál- 
lam jobban értékeli a kapott lehető- 
ségeket, és több forrást biztosít a to- 
vábbi munkához. Ezért most nem- 
csak főtitkárt keresünk, hanem mellé 
néhány szakembert is. 


CW: Az új kormány ITK-startégiája mó- 
dosítja az IVSZ iparági stratégiáját? 

L. T.: Az új kormány nem titkol- 

tan szerkezeti változtatásokra ké- 
szül, és ez az IKT-piacnak is lehe- 
tőséget ad arra, hogy segítse a kor- 
mányzat elképzeléseit. Célszerű 
lenne újragondolni a már futó pro- 
jekteket. A Nemzeti Digitális Köz- 
művel kapcsolatban például az a vé- 
leményem, hogy a hangsúlyt nem 
az optikai hálózatra, hanem a tarta- 
lomra kellene helyezni. Azt kellene 
kitalálni, hogy az embereknek ho- 
gyan lehetne hatékonyabb hozzá- 
férésük az államigazgatási rendsze- 


rekhez, hogyan lehet hatékonyabbá 
tenni az oktatási rendszert, munkál- 
tatási rendszert. Es ha már mindez 
megvan, akkor kellene összekötni 
ezeket egy közműhálózattal. Emel- 
lett életet kellene lehelni a TTTAN 
programba, és szélesebb platform- 
ra kellene helyezni a programot az 
e-befogadás és az esélyegyenlőség 
jegyében. Erre is igaz, hogy nem 

a hardver vagy internet osztogatá- 
sa hoz előrehaladást. A siker kulcsa 
a tartalom. 


CW: Sok informatikai cég elégedet- 
len a hazai informatikaiszakember- 
képzéssel. Az IVSZ tud-e tenni például 
a szakemberhiány enyhítéséért? 

L. T.: Jól mutatja a problémát, hogy 
a hazánkba telepített támogató köz- 
metszet az utánpótlás: nincs elég 
szakember. Jelenleg mintegy 100 
ezer ember dolgozik ebben az ipar- 
ágban, tehát politikai értelemben 
közel sem jelent akkora súlyt, mint 
gazdasági értelemben az általuk ma- 
gas hozzáadott értékkel előállí- 

tott négyezermilliárd forint. Ennek 
függvényében Magyarországnak el 
kell döntenie, hogy akar-e olyan ok- 
tatáspolitikát, amely abba az irányba 
tereli a diákokat és szüleiket, hogy 
informatikai-mérnöki pályát válasz- 
szanak. A prioritásokat az állam- 
nak kell megállapítania, de az IVSZ 
ebben tud segíteni. Egy biztos: ma 
nincs annyi képzett informatikus, 
amennyit ne lehetne elhelyezni kva- 
litásainak megfelelő állásba. 


CW: Az IVSZ széles spektrumát tömö- 
ríti az IKT-vállalkozásoknak. Nem okoz 
ez feszültséget a szervezeten belül? 
L.T.: Hangsúlyozom, az IVSZ ér- 
dekvédelmi képviselet, azaz az ipar- 
ágért kell kiállnia, lobbiznia, és in- 
tegrálni kell az iparág minden szeg- 
mensét, a kicsiket és a nagyokat 
egyaránt. Meg kell találni a közös 
célokat, és mindenkinek meg kell 
adni azt a lehetőséget, amit a for- 
rások megengednek. Ha nő a piac, 
nő a lobbierő és az ismertség, s az 


minden tagnak egyaránt jó. A kis- 
vállalatok a szövetségen belül meg- 
ismerkedhetnek más, hasonló válla- 
latokkal, tanulhatnak, összefoghat- 
nak, clustereket alkothatnak és így 
tovább. A nagyobb vállalatok pedig 
az iparág egészét érintő szabályzó- 
kat befolyásolhatják pozitív irányba, 
illetve segíthetnek elhárítani azokat 
az akadályokat, amelyek akadályoz- 
zák a konvergens technológiák szé- 
lesebb körű elterjedését. 


CW: Feladata lesz-e az ön által veze- 
tett IVSZ-nek, hogy a hazai kkv-kat 
hozza helyzetbe az IKT-piacot erősen 
meghatározó kormányzati megren- 
deléseknél? 

L.T.: Ez nehezen teljesíthető, hi- 
szen az IVSZ az iparág teljes 
spektrumát képviseli. Van azon- 
ban jó néhány dolog, amiben szé- 
les körű az egyetértés. Az egyik — 
amely a programomnak is része 
volt —, hogy az IVSZ a magas ha- 
zai hozzáadott értéket támogatja. 
Ezt adhatja kkv, de éppúgy lehet 
egy multinacionális cég is, amely 
támogató központot hoz Magyar- 
országra. A koncepcióm része az 
is, hogy támogassuk kockázati tő- 
ke bevonásával vagy akár beszer- 
zésen keresztül azokat a vállalko- 
zásokat, amelyek a hozzáadott ér- 
ték növelésére törekszenek. Ez 
nem a multinacionális cégek elle- 
ni üzenet, hiszen az iparág nem- 
zetközi jellegéből adódóan vannak 
olyan termékkörök, amelyeknél 
ezek a cégek megkerülhetetlenek. 
Voltaképpen a versenyegyenlőség 
az, amit meg kell teremteni. Pél- 
dául csökkenteni kellene az úgy- 
nevezett 143-as típusú titkosított 
közbeszerzéseket, és vissza kelle- 
ne térni az elektronikus közbeszer- 
zési rendszer alkalmazására, hogy 
csökkenjenek a közbeszerzések kö- 
rüli visszaélések. Mindezek együt- 
tesen a hazai kkv-kra is pozitív ha- 
tással lehetnek. 


CW: Milyen IVSZ-t fogunk látni három 
év múlva? 

L. T.: Az alapkérdés, hogy az IVSZ 
hatékonyan működjön. De a szer- 
vezet nem önmagában áll. Sikerünk 
nagyban függ attól, hogy a társada- 
lom mennyire ébred rá arra, hogy az 
IKT olyan alapiparág, amely nélkül 
ma már nem lehet sikeres. 1 


14 ] 2010. május 18. ] WWW.COMPUTERWORLD.HU 


COMPUTERWORLD 


IÜZLETI 


4 e , 4 4 e 
A kártyajáték veszélyei 
Hazánkban különösen háttérbe szorul a gyártók körében amúgy sokat emlegetett PCI-DSS 


szabvány, amely a bankkártyaadatok biztonságát hivatott szolgálni. Pedig az alkalmazása alól 
Magyarországon sem lenne kibúvó. Irta: Kristóf Csaba 


ivel napjainkban a bank- 
2] kártyaadatok rendkívül ka- 

pósak a kiberbűnözés ber- 
kein belül, ezért a kártékony prog- 
ramok, az adathalászat stb. révén 
megvalósuló biztonsági incidensek 
is egyre gyakrabban fordulnak elő. 
A kártyatársaságok is felismerték, 
hogy valamit tenni kell, hiszen ne- 
kik sem éppen kellemes, ha a kártya- 
használók adatait folyamatosan lop- 
kodják. A HP Magyarország két elő- 
adás során prezentálta, miként lehet 
fellépni szabványos keretek között 
a bankkártyaadatokkal való visszaélé- 
sek és csalások ellen. A PCI-DSS-ről 
Krasznay Csaba, a HP II-biztonsági 
tanácsadója, míg a HP megoldásairól 
Wöollner László üzletágvezető beszélt. 


ÉSSZERŰ SZABÁLYOZÁS 

A PCI-DSS (Payment Card Industry — 
Data Security Standard szabvány) ki- 
alakítása során a legfontosabb cél 

a kockázatok csökkentése, valamint 
egy olyan egységes szabályozás kidol- 
gozása volt, amely figyelembe veszi 

a gyakorlati élet sajátosságait. Ezért 
célokat fogalmaz meg az egyes kö- 
vetelményekkel kapcsolatban. Több 
konkrétumot tartalmaz, mint példá- 
ul az ISO 27001, ugyanakkor ad némi 
szabad kezet az alkalmazóknak, hogy 
a saját szervezetüknél fontosnak tar- 
tott védelmi preferenciákat mérlegel- 
jék, és annak megfelelően alakítsák ki 
a teljes biztonsági rendszerüket. Sőt 
az egyes — természetesen nem a leg- 
égetőbb — követelményi elemek telje- 
sítésére egy priorizálást követően időt 
is ad azért, hogy a meghatározott cé- 
lok megvalósulhassanak. 


A PCI-DSS a kártyaadatok védel- 
mét tekintve teljes körűségre törek- 
szik: az II-biztonság fontos és ritkáb- 
ban emlegetett területeit is nagymér- 
tékben lefedi. Ha ebből a szempont- 
ból az ISO 27001-gyel össze akarjuk 
vetni, akkor azt tapasztalhatjuk, hogy 
amíg például az ISO-nál találkozha- 
tunk egy jogszabályi előírásoknak 
való megfelelőséget taglaló fejezettel, 
addig a PCI-DSS-ből mindez hiány- 
zik. Van viszont benne fokozottab- 
ban megkövetelt alkalmazásbizton- 
ság, ami a jövőben sem fog változni, 
hiszen a szabvány — várhatóan ősz- 
szel megjelenő — 1.3 verziója is nagy 
hangsúlyt fog fektetni minderre. 

A PCI-DSS előírások hat fő terü- 
letre (azon belül 12 alterületre és ösz- 
szesen több mint 350 további részte- 
rületre) bonthatók. A hat fő terület: 

a hálózat; az adatvédelem; a sebez- 
hetőségek kezelése; a hozzáférés-vé- 
delem; a biztonsági monitorozás és 

a biztonsági szabályozás. A HP sze- 
rint nincs olyan termék, amely egy- 
maga képes lenne az összes feltételt 
teljesíteni. Viszont a cég biztonsági 
portfóliójának számos eleme alkalmas 
a PCI-DSS egyes alterületeinek lefe- 
désére. Különösen igaz ez a detektív 
kontrollokra (például a kötelező nap- 
lózásra) és a hálózatbiztonságra. 


KIKNEK SZÓL, KIKNEK KÖTELEZŐ? 
Mivel a PCI-DSS alkotói az élet- 
szerűségre törekedtek, ezért a szab- 
ványt végül úgy sikerült összeállítani- 
uk, hogy az korántsem csak a kártya- 
adatokat kezelő szervezetek számára 
nyújthat segítséget az értékek meg- 
óvásában. Az előbbiekben említett 
biztonsági területek ugyanis minden 
vállalati, intézményi felhasználó szá- 


mára kihívásokat tartogathatnak, 
amelyek kezeléséhez a PCI-DSS jó 
iránymutatást ad. lermészetesen 

a kártyaadatok kezelői, feldolgozói 
esetében azért már nincs ekkora sza- 
badság. A kártyatársaságok ugyanis 

a szabvány szerinti működést a keres- 
kedőktől (elvileg még a bankkártyás 
fizetést biztosító webáruházaktól 15), 
az elfogadóktól (bankoktól, kártya- 
feldolgozóktól) és a különböző szol- 
gáltatóktól is megkövetelik. Az elvá- 
rások leginkább a tranzakciók számá- 
tól és a forgalomtól függnek. Alapve- 
tően négy szintet határozhatunk meg. 
Az úgynevezett Level 1-hez tartozó 
(a Visa esetében a több mint hatmil- 
lió kártyatranzakciót végrehajtó) cé- 
gekkel szemben a legnagyobbak az el- 
várások. Meg kell jegyezni, hogy eb- 
be a szigorú csoportba kerülnek azok 
a szervezetek is, amelyek rendszeré- 
ből korábban bizonyítható módon 
adatok szivárogtak ki. A legmegenge- 
dőbb a Level 4 szint, ahol inkább csak 
ajánlásokkal lehet találkozni. 


AUDITÁLÁS 

A PCI-DSS-nek való megfelelőség 

a Level 1 esetében helyszíni vizsgála- 
tot, belső és független auditot ír elő. 
A második két szint igazolása ön- 
felmérő tesztek révén valósul meg. 

A Level 1-3 szinteken negyedévente 
kell hálózatbiztonsági ellenőrzéseket 
végezni, ami természetesen a négyes 
szinten is ajánlott, de nem kötelező. 
A PCI-DSS tanúsítást sem végezheti 
bárki. A helyszíni ellenőrzést úgyne- 
vezett Oualified Security Accessorok 
folytatják le. Hazánkban először 

a Clarity Consulting szerezte meg ezt 
a minősítést 2010 áprilisában. 

Amikor egy előírás betartására sor 
kerül, akkor mindjárt felsejlenek az 
azzal kapcsolatos büntetési tételek. Ha 
egy szervezettől kiszivárognak ada- 
tok, és az nem tudja igazolni a PCI-DSS 
megfelelőségét az incidens időpontjá- 
ban, akkor akár 100 ezer euróra is rúg- 
hat a büntetés, ami elveszett kártya- 
adatonként még 5 euróval megtoldha- 
tó. A tapasztalatok azonban azt mu- 
tatják, hogy nem ez a büntetés az 


igazi , tétel", hanem amit egy ilyen 
incidens maga után von: nyomoza- 
ti költségek, kártérítések, a hírnéven 
esett csorba stb. 

Ahogy említettük, a PCI-DSS az 
alkalmazásbiztonságra nagy hangsúlyt 
helyez. Ezért a fejlesztőknek is fel 
kell kötniük azt a bizonyos fehérne- 
műt. Nyilvánvalóan a PCI-DSS nem 
nézi jó szemmel az XSS (cross-site 
scripting), az SOL injection stb. se- 
bezhetőségeket, ezért a sérülékenysé- 
gek vizsgálatára, a titkosításra, a sze- 
repkörök kezelésére, a biztonságos 
kommunikációra különösen nagy fi- 
gyelmet kell fordítani. Krasznay Csa- 
ba szerint a fejlesztőknek célsze- 
rű alaposan áttanulmányozniuk az 
OWASP (Open Web Application 
Security Project) intelmeit, tanácsait. 

A PCI-DSS a kártyaadatok keze- 
lőit széles körben érinti, ezért fel- 
merül a kérdés: mit is kell tenni? 
Azoknak a kisebb cégeknek, ame- 
lyek banki szolgáltatásokon keresz- 
tül fogadnak el bankkártyás fize- 
tést, vagy írt elő valamilyen köve- 
telményt a kártyafeldolgozó, illetve 
a pénzintézetük, vagy sem. Viszont 
minden esetben érdemes töreked- 
ni arra, hogy a PCI-DSS-ben szerep- 
lő előírásokat akkor is vegyék figye- 
lembe, ha azok betartását látszólag 
senki sem kéri számon. Ez ugyanis 
mindenkinek az érdekét szolgálja. 
A bankkártyaadatokkal dolgozó 
nagyobb vállalatoknak pedig el- 
vileg nemigen lenne választásuk 
a PCI-DSS compliance kapcsán, 
azonban hazánkban mégis háttérbe 
szorul mindez. 

A HP szakemberei elmondták, 
hogy a nemrégen Budapesten meg- 
tartott PCI-DSS konferencián össze- 
sen négy magyar szakértő vett részt. 
Erdekes tendencia, hogy napjainkban 
Európában a légitársaságok foglalkoz- 
nak a legtöbbet a bankkártyaadatokat 
védő szabvánnyal, amit az is jól bizo- 
nyít, hogy számos légitársaság képvi- 
seltette magát a konferencián. 

Összefoglalásképpen elmondható, 
hogy a PCI-DSS-t az életszerűségre 
törekvő, folyamatosságot megköve- 
telő előírások közé sorolhatjuk, amely 
korántsem csak a bankkártyaadatokat 
kezelő szervezetek számára lehet 
hasznos, hanem tulajdonképpen bár- 
mely iparágban megállja a helyét, és 
képes segíteni a védelem egységesíté- 
sét, illetve zárttá tételét. §T 
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vipualizált asztal 


Az asztali virtualizáció az elmúlt pár évben annyit fejlődött, és annyira része lett a fejlesztők, rendszergazdák mindennapjainak, 
hogy nehéz elképzelni, mit érdemes még tökéletesíteni rajtuk. Megnéztük, hogy a , legismertebb" szoftver hogyan vizsgázik 
a ,legolcsóbbhoz" képest. Írta: Horváth Adám 


VMware biztosan a legis- 
A mertebb név a virtualizációs 

piacon, valószínűleg neki 
köszönhetjük, hogy a konkurensek 
is belevágtak a különféle virtuali- 
zációs és emulációs szoftverek 
fejlesztésébe. A legelső asztali 
virtualizációs VMware-megoldás, 
a Workstation 1999-ben jelent 
meg; a cég azóta is aktívan fejlesz- 
ti a terméket, amely hosszú ideig 
gyakorlatilag versenytárs nélkül állt 
a piacon, és ezt árazásában is érvé- 
nyesítette a vállalat. 

Az első komoly ellenfele a Micro- 
soft volt Virtual PC megoldásával, 
amelyet ingyenesen kínált a fel- 
használóknak. A VMware-termékek 
technológiai előnye csak margi- 
nális volt, és az ár igen komoly érv 
volt a beszerzésekkor. A VMware 
válaszlépésként ingyenessé tet- 
te a híres Server termékét, illetve 
a Workstationből is kiadott egy in- 
gyenes változatot, a Playert, amely- 
lyel új gépeket ugyan nem lehetett 
létrehozni, de már meglévőket le- 
hetett futtatni. 

A Microsoft stratégiát váltott, 

a VMware pedig nagyon összeszed- 
te magát, így ma is szinte konkuren- 
cia nélkül van a piacon. A Microsoft- 
nál a korábban oly népszerű Virtual 
PC ma már csak mint , XP mód?" je- 
lenik meg a Windows 7-es rendszer- 
ben, önálló termékként bár még el- 
érhető, gyakorlatilag nagyon korláto- 
zottan használható. 

A fentiek mellett azonban még 
két terméket érdemes mindenkép- 
pen megemlíteni: a nálunk kevés- 
bé ismert Parallels megoldást, ame- 
lyet főképp a maces társadalom 


használ Windows-virtualizálásra, 
és a Virtualboxot, egy nyílt forrás- 
kódú, folyamatosan fejlesztett rend- 
szert. Ez utóbbi — bár valószínűleg 
mindig lemaradással fog küzdeni — 
egyre több funkciót vesz át a piac- 
vezetőtől, és ma már bizonyos te- 
kintetben fejlettebb is annál. 


VMWARE 7 
A VMware Workstation jelenleg 
a 7-es szériánál tart, amely szemláto- 
mást különbözik a 6.x-es sorozattól: 
képes használható teljesítménnyel 
futtatni a Windows 7-es rendszert. 
A VMware csomag mérete igen te- 
kintélyes, 540 megabájt, telepítése új- 
raindítást kíván. A termék ára dara- 
bonként 189 USD (mintegy 40 ezer 
forint), korábbi változatokról pedig 
99 dollárért lehet frissíteni. 

A VMware már kezdetektől fogva 
telepíthető Windowsra és Linuxra 
egyaránt (gazdarendszer), és a befo- 
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gadott operációs rendszerek (ven- 
dégek) száma gyakorlatilag magá- 
ban foglalja az összes ismert x86/ 
x64-es rendszert (Windowsok, 
"NIX rendszerek). 

A vállalat olyan szempontból meg- 
bízható szállító, hogy amint megje- 
lenik egy új operációs rendszer vagy 
technológia, aktívan tesz azért, hogy 
az futtatható legyen az ő virtualizált 
környezeteiben is. Pontosan így volt 
ez a Windows 7-essel is: a VMware 7 
legnagyobb újítása, hogy gyorsan ké- 
pes futtatni a Microsoft új rendszerét. 

Más szóval, persze egészen addig 
nincs is szükség újbb VMware verzi- 
ókra, amíg meg nem jelenik egy-egy 
új operációs rendszer. Ez a valódi ver- 
seny hiánya miatt sajnos ténylegesen 
így van, a Workstationt csak akkor 
fejlesztik, ha nagyon muszáj. 

Az új változat nagy újítása, hogy 
megjelent benne a hardveres 3D tá- 
mogatása, így nemcsak hogy gyors 
a Windovs 7, de 
még az Aero grafi- 
kus rendszer is mű- 
ködik rajta, azaz 
a , vizuális élmény" 
is olyan, mintha 
közvetlenül a hard- 
veren futna a rend- 
szer. Ez persze sok- 
szor szinte mindegy, 
hiszen fejlesztők és 
rendszergazdák az 
esetek többségé- 
ben nem ragaszkod- 
nak a látványhoz, de 
például az új virtu- 
ális gépekben már 
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VMware 7 - a nagyobb teljesítménynek és Aero élménynek ára van 


tékok is futtathatók, 


ami kifejezetten jól jön játékfejlesz- 
tésnél, oktatásnál. 

Erdekes újítás, hogy virtualizált 
rendszerünkben nemcsak a procesz- 
szorok számát, hanem a magok szá- 
mát is állíthatjuk, így megfigyelhet- 
jük, mennyiben viselkedik másképp 
a rendszer más-más architektúrán. 

A hagyományos pillanatkép (snapshot) 
mellett megjelent az AutoProtect, 
amely adott időközönként magától 
készít pillanatképet a rendszerről. 
Hiába döntjük tehát össze rendsze- 
rünket, akár a 10 perccel korábbi 
mentéshez is azonnal visszatérhetünk. 
Ez nagyon kényelmes funkció, hi- 
szen a pillanatképet általában nem sű- 
rűn használják a felhasználók; készít 
egyet, és indulhat a munka, azaz akár 
többórányi műveletet is el kell dobni, 
amikor vissza akarunk térni egy ko- 
rábbi állapothoz. 

A távoli segítségnyújtást és szoft- 
verproblémák izolálását teszi egy- 
szerűbbé a Rep/ay funkció, amely 
minden műveletet képes újrajátsza- 
ni, jobb megfigyelhetőséget bizto- 
sítva a fejlesztőknek. A búzd és ejtsd 
(dragg-drop) és szásol-beszúr (copy- 
paste) művelet a gazda-vendég gépek 
között tökéletesen működik, ennyi- 
re finomhangolt megoldása egy kon- 
kurensnek sincs (még fájlokat is át tu- 
dunk húzni a vendéggépbe). 

Vállalati igények hatására meg- 
jelent a gépek titkosításának lehe- 
tősége - egy fix jelszóval megtehet- 
jük. Így hiába másolják le a gépet, 
az a jelszó hiányában nem lesz hasz- 
nálható. A titkosításhoz 256 bites 
AES algoritmust használ, így csak 
a jelszó védelmére kell nagyon oda- 
figyelnünk. 
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Bár az ACE (assured computing 
environment) funkció nem újdon- 
ság, megemlítjük, mert vállalati kör- 
nyezetben nagyon hasznos. Segít- 
ségével a végfelhasználóknak tö- 
megesen, előre elkészített gépeket 
ajánlhatunk ki, azaz ha bármi tönk- 
remenne a kliensgépen, egyszerűen 
tölt egy újabbat, a korábbit pedig el- 
dobja. A hibaelhárítás ideje így sok- 
szor nullára csökken, kár is visszafej- 
teni, hogy mi ment tönkre; új gép — 
mehet tovább a munka. 

A vállalati környezetben való mun- 
kát segíti a nyomtatókezelés: az új 
Workstation automatikusan biztosít- 
ja a gazdagép nyomtatórendszerét 
a vendéggépnek, így ha a gazda tud 
nyomtatni, akkor a vendég is, még- 
hozzá anélkül, hogy bármilyen beál- 
lítást előre rögzíteni kellene. A rend- 
szergazdák nagy örömére a VMware 
vSphere 4 és VMware ESXI is fut- 
tatható vendégrendszerként az új 
Workstationben, így a képzések, 
rendszergazdai próbálkozások sokkal 
kényelmesebbek lehetnek (ezzel ko- 
rábban mi magunk is rengeteg időt 
spórolhattunk volna meg). 

Bár nem teszik nagyon közzé, ha 
processzorunk támogatja a hardveres 
virtualizációt (Intel VI-x), nem hiva- 
talosan Mac OS X is futtatható raj- 
ta. Igaz, apró trükkökhöz így is folya- 


Az ESXIi - ingyenes, nagyon kis mé- 
retű, közvetlenül a hardveren futó 
szervervirtualizációs réteg. A ven- 

dég operációs rendszereket az ESXi- 

re kell telepíteni közvetlenül, nincs te- 
hát egy olyan , felesleges" operációs 
rendszer, amely csak azért fut, hogy 
avirtualizációs szoftvert futtassa. 
Előnye, hogy nagyon stabil, minimális 
hardveres erőforrást igényel csak, és tá- 
volról kiválóan menedzselhető (a konzol 
elé ülve viszont szinte egyáltalán nem, 
hiszen az ESXi valójában egy karakteres 
minimál rendszer). 

Hátránya, hogy igencsak válogatós 

a hardvereket illetően, így megfontolan- 
dó, hogy teszteléshez inkább több me- 
móriát szerzünk a gépbe és valamilyen 
kicsi Linuxra telepítjük a szintén ingye- 
nes Servert, vagy az ESXi-nek megfe- 
lelő hardverelemekből építjük a gépet. 
Jól összeállítottkonfiguráció esetén az 
ESXi vendégrendszerek teljesítménye 
gyakorlatilag megegyezik a hardverével. 


modni kell, de alapjában nem bonyo- 
lult a rendszer telepítése. Ismerkedés- 
re, fejlesztésre kiválóan használható 
(Hackintosh néven érdemes utána- 
nézni a megoldásnak). 


VIRTUALBOX 3.1 

A Sun (vagyis már Oracle) fejlesz- 
tésében álló Virtualboxot kezdet- 
ben sokan komolytalannak gondol- 
ták, hiszen mit tudhat egy rendszer, 
amit egy kis német cég kezdett el fej- 
leszteni (a Sun felvásárolta a fejlesztő 
Innoteke9). A Virtualbox 3.1.6 ingye- 
nes platform, a telepítőcsomag mind- 
össze 75 megabájt, és még újraindí- 
tást sem kér rendszerünktől. Ezzel 
gyakorlatilag éles környezetekre is 
gond nélkül telepíthető, a leállás csak 
pár másodperces, mert a hálózat te- 
lepítésekor a gazdakörnyezet is lesza- 
kad a hálóról rövid időre. 

A Virtualboxnak is van saját , gyor- 
sítócsomagja", amelyet a kliensre kell 
telepíteni: ez itt Guest Additions né- 
ven fut. Ennek része az egérintegrá- 
ció, azazhogy nem ragad be az egér 
a vendéggépbe; pontosan úgy, mintha 
csak egy ablak lenne, áthúzhatjuk az 
egeret felette. Még fejlesztői állapot- 
ban, de már itt is elérhető a 3D gyor- 
sítás, ám egyelőre a Windows nem 
barátkozik meg vele, a vendégrend- 
szer úgy érzékeli, mintha nem lenne 
hardveres grafikus gyorsítás a gépben. 

Sajnos drag8.drop-támogatás 
nincs, pedig fájlok másolásakor ez 
óriási segítség lenne. A másik megol- 
dás, a könyvtármegosztás, itt is elér- 
hető, és bár valamivel kényelmetle- 
nebb, de működik. 

A 3.1-essel jelentős teljesítménynö- 
vekedésre számíthatunk. A gyártó ál- 
lítása szerint ez akár 30 százalékos is 
lehet. Tény, hogy egészen használha- 
tó a Virtualbox, sőt a Windows 7-est 
vendégrendszerként telepítve is tö- 
kéletesen működik minden funkció 
(itt érdemes azért megjegyezni, hogy 
érezhetően lassabban reagál a rend- 
szer, mint a VMware Workstation 
esetében). A snapshotok kezelésén is 
sokat javítottak, elérhetővé vált a hi- 
erarchikus snapshot kezelés. Sajnos 
időzítő funkció még nincs rajta, de 
ez csak egy apróság a többi funkció- 
hoz képest, várható, hogy hamarosan 
megjelenik a Virtualboxban is. 

Azonban van a rendszernek egy 
igen érdekes funkciója: a Teleporting. 
A technológia segítségével Virtual- 
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boxok között, különféle architektúrá- 
kon átrakhatjuk éppen futó virtuális 
vendéggépünket Windows gazdáról 
Linuxra, Intelről AMD-re, a vendég- 


alizációban nincs sok értelme, van 
előrelépési lehetőség: ezzel egyértel- 
műen a VMware Vmotion techno- 
lógiájára céloznak, hiszen a szerve- 


Win? (Snapshot 1) [Running] - Sun VirtualBox 
Machine  Devices Help 
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Rate and improve your computers performance 


The Windows Experience Index assesses key system components on a scale of 101079. 
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Virtualbox - lassabb, kevésbé látványos, de ez csak kevés dologra nem megfelelő 


gép nem áll le egy pillanatra sem. 
Egyelőre csak korlátozottan hasz- 
nálható ez, mivel csak akkor műkö- 
dik, ha a beállítások azonosak a for- 
rás és cél vendéggépen (ugyanannyi 
processzor, memória), és közös me- 
revlemezt használnak (akár 15CSI- 
vel, akár NFS vagy SMB/CIES segít- 
ségével). ISCSI merevlemezt mi ma- 
gunk is tudunk szoftveresen létre- 
hozni, ám arra ne számítsunk, hogy 
ezzel a megoldással WLAN-on 
notebookunk és asztali gépünk kö- 
zött át tudjuk majd tenni az éppen 
futó gépet, inkább gigabites hálózat- 
tal működik megfelelően. 

A közös merevlemez sajnos gátja 
az otthoni vagy kisgépes használat- 
nak, hiszen ahol már elérhető hálóza- 
ti merevlemez (ami nem keverendő 
a fájlmegosztással!), ott valószínűleg 
amúgy is olyan jó minőségű hardver- 
elemekkel dolgoznak, hogy sok értel- 
me nincs az asztali virtualizált gépeket 
áttölteni egyik helyről a másikra. 

A Teleporting funkció grafikus fe- 
lületről egyelőre nem érhető el, azt 
parancssorból, manuálisan kell végre- 
hajtani. A feladat nem túl bonyolult, 
ténylegesen csak a szükségeseket kell 
megadni. Előnye ennek a megoldás- 
nak, hogy teljesen automatizálható. 

A technológia működik és jó, és 
függetlenül attól, hogy asztali virtu- 


rek között, terheléselosztásra igen jól 
használható ez a funkció, így várható, 
hogy a Virtualbox meg fog jelenni 
szervervirtualizációs megoldásként is. 

Bár a Windows 7 esetében le kell 
mondani az Aero felületről, ettől füg- 
getlenül tesztelésre, bemutatóra ki- 
váló eszköz a Virtualbox, ám mivel 
teljesítménye érezhetően elmarad az 
asztali géptől, ezért hardverintenzív 
feladatokra egyelőre nem ajánlott 
(szoftverfejlesztés a vendéggépben, 
játékok, audio- és videoszerkesztés 
stb.). Szerencsére ez inkább a gépek 
ritka felhasználása, többnyire csak 
valamilyen időszakos tesztre hasz- 
náljuk azokat. 


ÖSSZEGZÉS 

Kétségtelen, hogy a legfejlettebb 
asztali virtualizációs megoldás a pi- 
acon a VMware Workstation, de 
kérdés, hogy minden esetben szük- 
ségünk van-e a pluszfunkciókra; le- 
het, hogy nem kell sosem időzített 
mentéseket készíteni a gépről, vagy 
nem érdekes, hogy van-e Aero fe- 
lület a vendéggépen. A Virtualbox 
ingyenessége sokszor képes feled- 
tetni a kellemetlenségeket, külö- 
nösen, ha több Workstation pél- 
dányt is be kellene már vásárolnunk 
— a licencdíjkülönbségből egy gyor- 
sabb processzor is kijön még! 57 
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Távol a toplisták élétől 


A CheckVir tesztlabor mostani tesztjében azt vizsgáltuk, hogy a ví- 
rusvédelmi rendszerek hogyan veszik fel a harcot azokkal a kárte- 
vőkkel, amelyek nem a toplisták élén találhatók. Írta: Leitold Ferenc 


anapság egyre ritkább, 
hogy egy kártevő nagy 
járványt okoz. Mint az 
a vírusstatisztikákból kiderül, 
a számítógépes kártevők 100 leg- 
elterjedtebb tagja felelős a fertőzés 
mintegy 70 százalékáért, de a top- 
listákban szereplő első 1000 is csak 
a fertőzések 95 százalékát fedi le. 
Csakhogy ott van az a bizonyos to- 
vábbi 5 százalék... 

Eppen ezért tartottuk fontosnak, 
hogy a CheckVir tesztlaborban 
megvizsgáljuk a vírusvédelmeket 
abból a szempontból is, hogy mit 
tudnak kezdeni a ritkábban elő- 
forduló kórokozókkal. Tehát olyan 
kártevők felismerése szempontjá- 
ból teszteltük őket, amikor nem 
a toplisták élén találhatók. 

A vizsgálat megkezdése előtt 
a nem elterjedt kártevők köréből 
választottunk 25 000 állományt, 
amelyeket a víruslabor automa- 
tikus szaporító rendszerébe he- 


lyeztünk. A kiválasztott 25 000 ál- 
lomány közül 17 012 produkált 
olyan jelenséget, amely alapján 
egyértelműen kártevőnek minő- 
síthető a kód. Ezt követően csak e 
fájlokat használtuk. 

A vizsgálat során tíz vírusvédel- 
mi rendszert használtunk, minden 
esetben a felhasználó által indítható 
on-demand ellenőrzést teszteltük. 
Annak érdekében, hogy minden- 
fajta működési problémától men- 
tesüljünk, a 17 012 állományt nem 
egyszerre adtuk oda a védelmek- 
nek, hanem kialakítottunk belő- 
lük hét csoportot. Erre azért volt 
szükség, hogy jobban szimulál- 
juk a mindennapi körülménye- 
ket. A valós használat gyakorlatá- 
ban ugyanis viszonylag ritkán for- 
dul elő, hogy a védelem egyszer- 
re több ezer fertőzéssel találkozna. 
A vizsgálat során az alapértelmezés 
szerinti beállításokat csak annyi- 
ra módosítottuk, hogy felhaszná- 


EICAR konferencia Párizshan 


Idén 19. alkalommal rendezték meg az EFICAR (European Institute for Compu- 
ter Antivirus Research) konferenciát, amelynek ezúttal a francia főváros adott otthont. 
A rendezvényre a világ minden tájáról mintegy 70 résztvevő érkezett. A konferencia ti- 
zenhét előadása a kártevők, a rendszerbiztonság, a tesztelés, illetve akockázatelemzés 
aktuális kérdéseivel foglalkozott és lehetséges jövőbeli megoldásokat vetített előre. 
Eric [ttrot, az FICAR tudományos igazgatója, diákjai segítségével a védelmi rendszerek 
vizsgálatának, tesztelésének teljesen új megközelítését mutatta be. Az eljárás, amely va- 
lószínűleg mégsok vita forrása lesz, nem használ semmilyen valós kártevőt, csupán az 
cicar.org oldal Download szekciójáról letölthető eicar.com állományból kiindulva olyan 
módszereket tesztelnek, amelyeket a kártevőkben is alkalmaznak a vírusírók. 

Az előadások anyagai a konferenciát követően hamarosan letölthetők lesznek az 


eicar.org oldalról. 


2 Can the test environment be considered 
erezhet? 
7 Many 


mabesare deteet Vitware ard other vm 
atól EGÁG ÉLELEM SEN MÉG 9 


lói interaktivitás nélkül fussanak le 
a tesztek. Az eredményeket a zzellé- 
kelt táblázat tartalmazza. Egyértel- 
műen látszik, hogy a kártevők vizs- 


gált körében a védelmek többsége 
mintegy 90-9596 eredményt ért el. 
A tesztelés további részletei a www. 
checkvir.com oldalon találhatók. 


Fájlok száma avast! Free AVG Internet Bitdefender Internet ESET Smart  Í F-PROT antivirusfor §  F-Securelnternet § Ikarus security ! Kaspersky Internet Norton Internet Panda Internet 
J Antivirus Security Security 2010 Security 4 Windows Security 2010 software Security 2010 Security 2010 Security 2010 
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Kívül HTGCG, belül Google 


Mégiscsak megszületett a Google Phone, még ha nem is abban a formában, ahogy annak 
idején gondoltuk. Irta: Horváth Balázs 


ár évvel ezelőtt, a Google 

mobilos operációs rendsze- 

rének, az Android bemuta- 
tása idején a keresőcég munkatár- 
sai minden kételyt eloszlatva azt ál- 
lították, hogy a Google sosem fog 
hardvert készíteni, mindig is meg- 
maradnak annál, amihez értenek. 
Ez pedig a szoftver. Az idén janu- 
árban bemutatkozott Nexus One 
azonban mégiscsak a vállalat nevét 
viseli, noha egy másik cég, a HIC 
gyártotta. 


CETTESET TUNT] 
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Helping Grandpa Get His 
Techon 


ev 


ÉRTÉKELÉS (( HED 


Oualcomm Snapdragon 


OGEEEZOT OSD8250 1 GHz CPU 


Android OS, 2.1 
512 MB RAM, 512MB ROM 


Operációs rendszer 
Memória 


microSD (32 GB-ig bővíthe- 


Miaroriaoottes tő, 4 GB a csomagban) 


MOLED, kapacitív érintő- 


Kijelző képernyő (480x800 pixel, 
3,7 hüvelyk), multitouch 
EDGE, 3G (HSDPA 7,2 
feb Mbps; HSUPA, 2 Mbps), 
FEEGEGYTEL Wi-Fi 802.11 a/b/g, 2.1 
Bluetooth (AZDP) 
Csatlakozó 3,5 mm audio jack 
Kamera 5 MP, 2560x1920 képpont, 


autofókusz, LED-vaku 


Videorögzítés 720x480 pixel (min. 20 fps) 


gyorsulásérzékelő, GPS 


Egyes A-GPS-támogatással 


Google Search, Maps, 


Alkalmazások Gmail, YouTube, Google 


Talk, Picasa 
Támogatott MP3/eAAC:/WAV; 
formátumok MP4/H.263/H.264 


Akkumulátor Lítium-ion, 1400 mAh 


Méret 119x59,8x1II,5 mm, 130 g 
Forgalmazó Speedshop Kft. 
Ár 164 990 Ft 


A Google elképzeléseit, ötleteit 
tartalmazó érintőképernyős ké- 
szülék sajnos hazánkban egyelő- 
re hivatalosan nem elérhető, de et- 
től függetlenül több módja is van 
a beszerzésének. Ezek taglalása 
nélkül inkább nézzük, miért te- 
kintettek olyan sokan Messiásként 
a telefonra. 


FORMA ÉS TARTALOM 
A HIC eddigi markáns, egyedi 
modelljeihez képest a Nexus One 
maga a tömény unalom. Egyszerű, 
szürke készülékház, alul-felül leke- 
rekített, kavics jellegű formák, eze- 
ken talán a trackball javít egy ki- 
csit. Amilyen hétköznapi a külső, 
annyira különleges és igényes az 
anyaghasználat. A Nexus One bur- 
kolata kétféle szürke árnyalatú, 
matt felületű és nagyon kellemes, 
ujjlenyomat-taszító, gumihatású 
anyagból készült. 

Az előlapon a 3,7 hüvelykes, 
kapacitív érintőképernyő alatt 
a négy elmaradhatatlan androidos 
gomb (visszalépés, menü, nyitó- 
képernyő, keresés) található, de ez- 
úttal ezek is érintésre reagálnak. 
Alul középen a trackball szolgáltat- 
ja a kevés mechanikus kapcsolatok 
egyikét a készülékhez — ez meg- 
nyugtató, s nem mellesleg rendkí- 
vül hasznos akkor, amikor pontos 
navigációra van szükség. 


VÉGRE ANDROID 2.1 

A Nexus One alapjait a 2.1-es 
Android adja. Ez csak pár, felhasz- 
nálóként is észrevehető dologban 
hoz újítást a 2.0-hoz képest. Több 
olyan elemet tartalmaz, amelyek 
nem hoznak eget rengető újdon- 
ságokat, de integrálásukkal élhe- 
tőbbé, sőt, szórakoztatóbbá teszik 
az Androidot. Ilyen az úgyneve- 
zett Live wallpaper, ami látványos, 
érintésre megmozduló háttérképe- 
ket jelent. Az újdonságok közé tar- 
toznak még a menürendszer ap- 
róbb finomításai, a Gmail haszná- 
latának egyre jobb és a számítógé- 
pen tapasztalttal már-már teljesen 
megegyező kialakítása, valamint 


a hangvezérlés kiterjesztése az 
SMS-írásra is. Utóbbi sajnos csak 
angolul lehetséges, de aki egy ki- 
csit is konyít a nyelvhez, boldogul- 
ni fog vele. 

Lehetőségünk van a névjegyzék- 
kel egyesíteni facebookos ismerő- 
seink adatait, fotóit. Ennek követ- 
keztében a telefonkönyvbe beke- 
rülnek az FB-s fotók, és egy névre 
kattintva felugró ablakban érthe- 
tően, világosan megjelennek a le- 
hetőségek: a közvetlen tárcsázás, 

a névjegykártya adatainak meg- 
tekintése, SMS-írás, e-mail, illet- 
ve az illető Facebook-üzenőfalának 
megtekintése. 

Az Android kezelésének mód- 
szere ugyanaz maradt: kapunk öt, 
widgetekkel, ikonokkal benépe- 
síthető képernyőt, amelyek között 
jobbra-balra lapozgatással (akár 
a trackball használatával is) váltha- 
tunk. Alul a jobb és bal sarokban 
kis pöttyök jelzik, hogy éppen me- 
lyiken tartózko- 
dunk. A kijelző 
rendkívül jól, 
már-már kicsit 
túl érzékenyen 
is reagál érinté- 
seinkre. Itt mu- 
tatkozik meg, 
hogy az érintő- 
képernyő kom- 
binálása a szin- 
tén érintésvezé- 
relt gombokkal 
nem feltétlenül 
a legjobb meg- 
oldás, mert 
többször előfor- 
dult, hogy olyan 


felülethez értünk hozzá, amelyhez 
nem akartunk. 


SZÉLSEBES HARDVER 

Az 1 gigahertzes processzornak 
köszönhetően a menük mozgatása, 
animálása, a weboldalak betölté- 

se másodpercek, sőt azok törtrésze 
alatt megtörténik. A weboldalak 
tördelése, képernyőhöz való igazítá- 
sa szintén pillanatok alatt lezajlik, 
sajnos azonban a Flash-tartalmakat 
egyelőre a Nexus One sem képes 
kezelni. A 2.1-es Android miatt 
azonban már nemcsak a kétujjas, 
multitouch nagyítás lehetséges, ha- 
nem a kétkoppintásos (double tap) 
módszer is működik. 

Kapcsolódási lehetőségek terén 
dúskálhatunk, hiszen a 7,2 Mbps- 
os HSDPA (HSUPA) mellett ka- 
punk, Wi-Fit és 2.1-es Bluetootht. 
A helyi kapcsolatot gépünkkel 
micro USB-kapcsolattal építhet- 
jük ki, amihez persze kapunk ká- 
belt is a csomagban. A tartozé- 
kok átlagon felüli nagylelkűségről 
tanúskodnak, hiszen az egysze- 
rű headset mellé jár még egy tex- 
tiltok, illetve egy 4 GB-os micro 
SD-kártya is. 7 
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Hiányyazdaság 


A Nexus One celőéletéhez az is hozzátartozik, hogy a készülék a bejelentése, il- 
letve a tengerentúli, egyes piacokon való megjelenése után egyáltalán nem úgy fogy, 
ahogy az egy felkapott vállalat agyonajnározott termékétől várható lenne. Sokan az 
európai premierben bíznak, Angliában ez már meg is történt április végén. Hazánk- 
ban egyelőre nemindult el még a hivatalos forgalmazás, de a Speedshopnak köszön- 
hetően a magyarok is hozzájuthatnak; előbbi segítségével tesztelhettük mi is. Mivel 
az európai közönség jobban szereti, sőt elvárja a szolgáltatófüggetlen eszközöket, 
ezért valószínűleg a Nexus One nagyobb sikerre számíthat az európai piacokon. 
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Etikus hackerek a színpadon 


Az Ethical Hacking konferencia a hazai etikus hackelés egyik legfontosabb eseménye. 
A rendezvényről készült beszámolónkból kiderül, hogy napjainkban mivel okoz meglepetéseket 
a fehérkalaposok csapata. Írta: Kristóf Csaba 


dezték meg az Ethical Hacking 

konferenciát Magyarországon. 
Az eseményt szervező NetAcademia 
Oktatóközpont elsősorban az infor- 
matikai biztonság felelőseire és fel- 
ügyelőire, így a rendszergazdákra 
és az II-biztonsági szakemberekre 
számított, akik valóban szép szám- 
ban jelentek meg, és megtöltöt- 
ték a Cinema City Aréna egyik 
mozitermét. 

nAz idénis az a cél, hogy a konfe- 

rencián gyakorlatorientált előadások 
- valós hekkek — keretében mutassuk 
be napjaink jellegzetes IT-biztonsági 
problémáit" — mondta Főti Marcell, 
a NetAcademia Oktatóközpont ügy- 
vezetője a rendezvényt megelőzően. 
Igy aztán kíváncsian vártuk, hogy 
a 2010-es rendezvényen is sikerül-e 
megtartani az elmúlt évek jó ha- 
gyományait, és valami újat mutatni 
a láthatóan nagyon kíváncsi közön- 
ség számára. 


I mmár harmadik alkalommal ren- 


SEBEZHETŐ WEBOLDALAK 

Az Ethical Hacking konferencia a web- 
oldalak biztonsági problémáit alap- 
vetően két irányból közelítette meg. 
Először Illés Márton és Gyöngyösi 
Péter a BalaBit képviseletében arról 
beszélt, hogy a szerverek és a kliensek 
oldaláról is kockázatokat hordozó se- 
bezhetőségek miként használhatók ki. 
Az előadók mondataiból az érződött, 
hogy ugyan számos bevetésre kész 
módszer létezik a weblapok támadá- 
sára, de amennyiben egy hacker ezek 
között nem talál számára megfelelő 
megoldást, akkor webfejlesztői isme- 
retek és némi furfang birtokában saját 
maga is felderítheti a biztonsági rése- 
ket, majd kihasználhatja azokat. Egy 
bemutató során a két szakember egy 
saját számlázóprogram hackelésén ke- 
resztül ismertetett néhány lehetősé- 
get. Ezek alkalmasak voltak jelszavak 
megkaparintására, cross-site scripting 
alapú manipulációkra, de például az is 
kiderült, hogy egy JPG állomány ki- 
sebb mértékű szerkesztgetésével mi- 
ként lehet megkerülni a képfeltöltő 
oldalak védelmét, majd saját kódokat 


futtatni. Az előadás legfontosabb ta- 
nulsága az volt, hogy a hackerek sok- 
szor könnyen kivédhető hibákat hasz- 
nálnak ki, amelyek ellen a fejlesztők 
sok esetben a bemeneti és kimeneti 
paraméterek gondos validálásával 
könnyedén védekezhetnek, vagy vé- 
dekezhetnének. 


(Nt, gl 


A hazai etikus 
hacker társadalorn 
egyre aktívabb, és 
fontos szerepet tölt 
be az ÍT biztonságo- 
sabbá tételében. 


A konferencia egy későbbi bemu- 
tatója azonban arra is rávilágított, 
hogy sokszor maguk a fejlesztői plat- 
formok sincsenek a topon biztonsá- 
gi szempontból. Balássy György, a Bu- 
dapesti Műszaki és Gazdaságtudo- 
mányi Egyetem tanára ugyanis az 
ASPNEL1-et vette górcső alá egy eti- 
kus hacker szemüvegén keresztül, de 
többször hangsúlyozta, hogy gyen- 
geségek korántsem csak a Micro- 
soft platformjának esetében fedezhe- 
tők fel. A szakember az előadása so- 
rán a session kezelést, az űrlapalapú 
hitelesítést, valamint a ViewState-tel 
kapcsolatos aggályokat vette sorra. Ez 
utóbbi esetben igazolta, hogy egy le- 
tiltott vagy elrejtett webes vezérlő egy 
etikus hacker számára különösebb ne- 
hézségek nélkül használatba vehe- 
tő. Balássy György azt tanácsolta a fej- 
lesztőknek, hogy ne higgyenek vakon 
a fejlesztőkörnyezetekben, és ne félje- 
nek átírni, kiegészíteni a platformok 
szolgáltatásait. 


GYENGÉLKEDŐ WI-FI 

Egy etikus hacker konferenciának 
szinte kötelező eleme legalább egy 
olyan előadás, amely bemutatja a ve- 
zeték nélküli hálózatok támadását. 
Nos, az idei Ethical Hackingről sem 
hiányzott mindez, hiszen Kocsis Tamás, 


a biztributor CTO-ja és Dnet 
,hekkertársa? a Wi-Fi gyengeségeit 
vette szemügyre. Az előadás során el- 
sősorban arra világítottak rá, hogy 

a WPA-TKIP biztonság nem iga- 
zán jelent akadályt egy hacker szá- 
mára, aki emellett többek között az 
ad hoc hálózatok, valamint a Rogue 
AP-k által kínált lehetőségekkel is él- 
het. A bemutató legérdekesebb ré- 
sze azonban az volt, amikor a közön- 
ség azzal szembesülhetett, hogy egy 
— hazánkban is széles körben haszná- 
latos — WiFi-eszköz fizikai megszer- 
zésével, és az azon található egyik IC- 
soron porton keresztüli kiolvasásával 
milyen egyszerűen — pár forrasztással 
— megszerezhető minden releváns in- 
formáció a készülékből. A tanulság az, 
hogy vállalati környezetekben a tit- 
kosítás mellett a hitelesítésre, a Wi-Fi 
tűzfalak és IPS-eszközök használatá- 
ra, valamint a fizikai védelemre is oda 
kell figyelni. 

A tavalyi Ethical Hacking kon- 
ferencián Barta Csaba, a Deloitte 
Forensic Investigator szakembere 
már bevezette a közönséget a Com- 
puter Forensics néhány rejtélyes zu- 
gába. Az idei rendezvényen megtol- 
dotta mindezt egy lépéssel, és egy sa- 
ját fejlesztésű rootkit segítségével 
hekkerkedett, majd nyomozott. Egy 
olyan kódot készített, illetve mutatott 
be, amely minden víruskereső számá- 
ra teljesen láthatatlanul működik, és 
képes a felhasználói jelszavak memó- 
riabeli reprezentációjának kitörlésére. 
Vagyis a támadó szabadon beléphet 
a rendszerbe, ott tetszőleges művele- 
teket hajthat végre, és amikor végzett 
a feladatával, akkor visszaállíthatja az 
eredeti jelszót. 

A konferencián előadást tartott 
Kovács László, a Zrínyi Miklós Nem- 
zetvédelmi Egyetem oktatója is, aki 
az információs hadviselésről és a kri- 
tikus infrastruktúrák támadhatóságá- 
ról beszélt. Elmondta, hogy 1991 
óta beszélhetünk információs hábo- 
rúról, amelynek során az egyik leg- 
fontosabb szempont az információs 
fölény megszerzése. A konferencia 
témájához kapcsolódóan Kovács 


László kifejtette, hogy véleménye sze- 
rint a hadseregben is szükség lenne 
etikus hackerekre, akik a tudásuk- 

kal, tapasztalatukkal és a fehérkalapos 
hackereknél megfigyelhető elkötele- 
zettséggel tevékenykedhetnének. 


LYUKAK A FORRÁSKÓDBAN 

Ahogy a Wi-Fi hálózatok törése, 

úgy a forráskódokban való vájkálódás, 
a sérülékenységek utáni keresgélés 

és a biztonsági rések kihasználása 

is szerves részét kell, hogy képezze 
egy etikus hacker konferenciának. 
Ezek nélkül ugyanis egy penetration 
teszt aligha lehet teljes körű. A témá- 
ban Zsíros Péter; a NetAcademia ok- 
tatója fuzzer segítségével egy FI P- 
alkalmazásban keresett meg egy biz- 
tonsági rést, amelynek kihasználásával 
bejutott egy szimulált, tűzfallal felvér- 
tezett vállalati hálózatba. A kódokban 
rejlő sérülékenységekkel kapcsolatban 
Kabai András, a PTA CERI-Hungary 
szakértője is tartott egy bemutatót, 
amely során a digitális tojásvadászat- 
ba, azaz az Egg Hunter technika rej- 
telmeibe vezette be a nagyérdeműt. 
Ott mindenki számára nyilvánvaló- 
vá vált, hogy egy puffer-túlcsordulá- 
si hiba milyen nagy értéket jelent egy 
hacker számára, aki ezáltal a kódjait 
tetszése szerint futtathatja le. Végül 
Buberátor lépett a színpadra, aki egy 
érdekes tényre hívta fel a figyelmet. 
Mégpedig arra, hogy a fejlesztők által 
kiadott patchek miként segíthetik 

a hackerek dolgát. A hibás és a javí- 
tott állományok összehasonlításával 
ugyanis értékes információk szerezhe- 
tők, amelyek aztán a nem megfelelően 
frissített rendszerek elleni tárnadások 
alapjául szolgálhatnak. A jó hír azon- 
ban az, hogy e támadások ellen rend- 
szeres szoftverfrissítésekkel kitűnően 
lehet védekezni. 

Az idei Ethical Hacking konferen- 
ciáról összességében elmondható, 
hogy a hagyományoknak megfele- 
lően valóban gyakorlatiasra sikerült, 
és számos olyan biztonsági problé- 
mára, sokszor könnyen orvosolha- 
tó hiányosságra világított rá, amelye- 
ket a biztonsági szakembereknek és 
a fejlesztőknek is szem előtt kell tar- 
taniuk mindennapi munkájuk során. 
Ugyanakkor az is kijelenthető, hogy 
a hazai etikus hacker társadalom egy- 
re aktívabb, és mind fontosabb sze- 
repet tölt be az informatika biztonsá- 
gosabbá tételében. 47 
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Facehbookon a rosszfiúk" 


szakma számára ismert, 
hogy a titkosításokat leg- 
többször nem feltörik, ha- 


nem megkerülik. Igaz ez szinte az 
összes informatikai biztonsági vé- 
delemre: sokszor egyszerűbb meg- 
kerülni, mint feltörni. Főleg akkor, 
ha mi, felhasználók is aktívan köz- 
reműködünk ebben. A Facebookon 
egyre gyakrabban bukkannak fel 
ugyanazt a trükköt használó alkalma- 
zások, amelyek nem feltörik a bön- 
gészők same origin policyjébe (SOP) 
és a Facebook fejlesztői interfészébe 
épített védelmeket, hanem megkerü- 
lik a felhasználó segítségével. Az SOP 
biztosítja, hogy egymás mellett futó, 
de különböző helyekről származó al- 
kalmazások (weboldalak) nem látják 
egymás bizalmas adatait (cookie-k, 
változók), míg a Facebook API-ja 
(javascriptes programozói felülete, 
valamint leíró nyelve, az FEBML) 

a Facebookon tárolt adatokhoz és 
szolgáltatásokhoz csak ellenőrzött és 
feljogosított kéréseket engedélyez. 


2010. május 6-án a kancellar.hu, az 
informatikai biztonsági piac vezető 
szakértőjének csapata észrevette, hogy 
24 órán belül kétszer is támadást in- 
dítottak a felhasználók ellen. Először 
két kép közötti különbségeket kellett 
megtalálni játékos formában, később 
egy pluszszolgáltatás ígéretével (látha- 
tod, ki nézte meg a profilodat) csap- 
ták be a felhasználókat. Ezekben az 
alkalmazásokban közös, hogy a helyes 
válasz megjelenítéséhez vagy a kért 
funkció eléréséhez a felhasználó segít- 
ségét kéri: először a CtrI-C-t kell le- 
ütni, majd az Alt-D-t, végül a Ctrl- 
V-t és ENTER-t. Ezzel kész is, az ár- 
tatlan segítségnyújtással már meg is 
kerültük a beépített védelmeket, ame- 
lyeken a program magától nem tudna 
átjutni. Ugyanis a Ctrl-C leütésével 
egy előre kijelölt és kódolt JavaScript 
programot helyezünk a vágólapra, az 
Alt-D leütésével kiválasztjuk a navigá- 
ciós sort, majd a Ctrl-V és ENTER 
párossal beillesztjük és lefuttatjuk 
a JavaScript programot. Ami szá- 


A mobilom 
az Irodarmm! 


Computerworlid Rlusz 
a Computerworld-Szárítástechnika kiadványa 


Ára 495 Ft 


Kapható április 81-től az 
újságárusoknál és a kiadóban 


I TECHNOLÓGIAI 


munkra pár kattintásra van, az a bön- 
gészők és a Facebook fenti biztonsá- 
gi védelmei miatt elérhetetlen mesz- 
szeségben van a programok és oldalak 
számára. A JavaScript program bön- 
gészősorba való másolásával ezeket 
a védelmeket kerüli ki a felhasználó. 
A JavaScript kód visszafejtésével 
kiderült működési mechanizmusa 
is: a bejelentkezett facebookos fel- 
használó nevében, annak kattintá- 
sait programból emulálva úgy tesz, 
mintha a felhasználó használná 
a Facebook felületét. Ehhez a táma- 
dónak olyan programot kellett alkot- 
nia, amely a Facebook kártékonykód- 
szűrő védelmét képes megkerülni. 
Ezt a támadó úgy oldotta meg, hogy 
engedélyezett karaktersorozatként 
kódolta a programot, amely önmagát 
kicsomagolva újra tudta magát építe- 
ni. A vizsgált program ebben az eset- 
ben egy adott oldalt megjelöl a ne- 
vünkben kedvencünkként, és ismerő- 
seinknek ajánlja. Ugyanakkor fontos 
megjegyezni, hogy ugyanezzel a tech- 
nikával egyéb kártékony feladatot is 
el lehet végeztetni a felhasználó nevé- 
ben, és ezek az alkalmazások már va- 


A tartalomból; 
Üzleti telefonok 


Mobiliroda 


Elveszett a mobil? 


Mobillehallgatás 


Melyik a legjobb? 


iPhone, Android, Win 
Mobile 7 vagy small 


lahol készülnek... Tekintsük úgy az el- 
múlt napok eseményeit, mint egy na- 
gyobb terv tesztelését! 

, Ennek a végül is ártalmatlan tör- 
ténetnek is van néhány fontos ta- 
nulsága" — mondta Bártfai Attila, 

a kancellar.hu üzletfejlesztési igaz- 
gatója. Először is, aki még nem tud- 
ná, a böngésző címsorában is lehet 
programot futtatni, ami az adott ol- 
dalon lévő minden védett tartalmat 
elér, ezért onnan JavaScriptet futtat- 
ni csak akkor szabad, ha tudjuk, mit 
csinálunk. Másodszor, ismét egy jó 
példát látunk arra, hogy miért fon- 
tos már a tervezés során a biztonsági 
szempontokat figyelni. A címsorban 
való programfuttatás egy nem kel- 
lően végiggondolt ötlet. A harmadik 
pedig, hogy tanuljuk meg a közössé- 
gi média eszközeit megfelelő óvatos- 
sággal kezelni, mert eddig a támadá- 
sok valójában ártatlanok voltak, de 
ki tudja, talán a rosszfiúk most még 
csak tesztelnek. Hi 


AZ INFORMATIKAI HETET SZAKÉRTŐJE 


Hazai és nemzetközi trendek 


Nem csak levelezni lehet 


Adatbiztonság egyszerűen 


HORIZONT 


fackerek 


NéÍKÖZNApjal 


Az etikus hacker vagy penetration tester munkájának végeredményét a megrendelő elé tárja, és jó esetben teljességre törekszik. 


I HOGYAN , DOLGOZNAK" A HACKEREK?I 


A hackernek ezzel szemben mások a motivációi, és ezért sem az eredmények megosztásában, sem a teljességben nem érdekelt. 
Viszont egyben megegyeznek: mindegyikük a figyelmünket akarja felhívni rendszereink sérülékenységére. Irta: Keleti Arthur 


ngem most jobban érdekel- 
e tek a hackerek figyelmezte- 

tései. Merthogy igazából el- 
lenük küzdenek a biztonsági szak- 
emberek. Ezért örültem, amikor 
a valódi hackerek közül néhányan 
vállalták, hogy beszélgetnek velem, 
felfedik a titkaikat, és megoszt- 
ják velem a véleményüket — termé- 
szetesen anonim módon. De még 
emellett sem mulasztották el hoz- 
zátenni, hogy bármi, amiről szót 
ejtünk, elsősorban barátaikkal, is- 
merőseikkel esett meg, és nem ve- 
lük. Mostantól kezdve HI, H2, H3, 
H4 ként fogok rájuk hivatkozni. 


MOTIVÁCIÓ ÉS KÉSZTETÉS 
Vajon miért tör be valaki egy infor- 
matikai rendszerbe? Amikor az utcán 
sétálva meglátjuk egy épület nyitott 
hátsó ajtaját, hányan lépnénk be rajta? 
H2 szerint ez a kérdés az egyik kulcs 
a hackerek viselkedésének megér- 
téséhez. Ok ugyanis úgy gondol- 
ják, hogy nekik szabad benéz- 
ni azon az ajtón, sőt talán be 


is mehetnek. Miért hagyták 
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nyitva, ha nem lehet bemenni? Ak- 
kor mégis mi választja el a jót a rossz- 
tól? Mondhatnánk, hogy a törvény 
és a gyakorlat. De ahogy HI rámu- 
tat, Magyarországon már több évti- 
zede , következmények nélküli" álla- 
pot van, és ez kedvez a hackereknek. 
nAmikor egyik haveromat végteleníi- 
tett telefonkártyával elkapták, kormo- 
lyan megijedt. De aztán az ügyét ke- 
zelő emberekről hamarosan kide- 
rült, hogy semmivel sem etikusabbak, 
mint ő maga, amikor a tőle elvett kár- 
tyát eladták másoknak." Különösen 
a hacking terén nem igazán hallunk 
feljelentésekről, bűnesetekről, és ami 
talán még ennél is fontosabb, nem 
hallunk retorziókról sem. 

Gyakran nagyon tudatos a hac- 
ker tevékenysége. Ilyenkor sok 
esetben az hajtja, hogy megmutassa, 
mennyire sérülékeny vagy kiszol- 

gáltatott egy rendszer. 
H3 így fogalma- 
zott: , Ha lá- 
tom, hogy 


a behatolásvédőn alapértelmezett 
beállítások vannak, akkor két dol- 
got tudok: pénz van, szaktudás 
nincs." Ez általában felbőszíti 

a hackert, és piszkálja az igazság- 
érzetét. , Megcsinálják pár forint- 
ból a rendszert és drágán eladják, 
miközben a valódi szakmai tudást 
nem fizetik meg a cégek. A hacker 
sok esetben csak rá akar világítani 
a problémára" — vélekedett H2. 

A hackerek szerint a legtöbb 
cég bármilyen közeledésükre és 
szaktudásuk értékbe bocsátására 
elutasítással reagál, feljelentéssel 
fenyeget vagy 1-2 millió forintos 
megbízásokat , dob oda" nekik. 

, Miért van az, hogy a cégek jo- 
gosultsági mátrix készítésére 100 
milliót költenek, betörési tesztek- 
re pedig 2 milliót? Mert nem ér- 
tik, hogy valójában miről szól ez 
az egész, és mert lehet, hogy nem 
is tudnak a saját sérülékenysége- 
ikről" — mondja H3. 


ERŐS VÉDELMI IGÉNYEK, 

GYENGE BIZTONSÁG 

A hackerek számára igazi cseme- 
ge, amikor olyan rendszerekbe 
etnek be, ahol a nyilvánvaló 


Egy fontos megjegyzés 


A fenti cikk írójaként nincs tudomásom konkrét bűncselekményekről vagy bi- 
zalmas céginformációkról. Interjúm alanyainak állításai, gondolatai a saját vélemé- 
nyüket, tapasztalatukat és tudásukat tükrözik. 


védelmi igény ellenére nagyon 
gyenge a biztonság. Ilyenek pél- 
dául a kórházak, ahol -— az asztal- 
társaság egybehangzó véleménye 
szerint — az informatikai bizton- 
ság az utolsó, amire áldoznak. H3 
elmesélte, miként bukkant rá egy 
kórház tűzfalán futó torrent szer- 
verre. Ehhez többen csatlakoztak 
történeteikkel, egyértelműen ál- 
lítva, hogy a személyes és beteg- 
adatok megszerzéséhez ma alap- 
szintű hackertudás és egyszerű 
hozzáférés is elégséges. 

Az ipari kémkedés hazai penet- 
rációjában már nem volt ennyire 
egységes a hackerek véleménye. 
Van, aki szerint még gyerekcipő- 
ben jár, de voltak ellentétes gon- 
dolatok is. H3 szerint napi szin- 
ten lehet találkozni vele, de sok- 
kal inkább egy megbízható belső 
ember megvásárlásán keresztül, 
mint klasszikus hacking módsze- 
rek által. Beszélgetésünknek ezen 
a pontján megdöbbentő kijelen- 
tés hangzott el: , Ma a CIO-k is 
viszik az adatokat, amikor egyik 
cégtől a másikhoz mennek dol- 
gozni" — mondta HI a többiek 
egyetértő bólogatása mellett. 


COMPUTERWORLD 


Kíváncsi voltam, vajon mi lapul 
még a hackerek tarsolyában konk- 
rét esetekről, átélt élményekről, de 
mielőtt még bármit kérdezhettem 
volna H4 azonnal bedobott min- 
ket a sűrűjébe. Elmesélte, hogy egy 
bizonyos önkormányzat szervereit 
hogyan radírozták le, a vezetés mi- 
képp tagadta le a tényeket, és azt is, 
hogy valójában tudták, ki követte 
el a támadást, mégsem tettek sem- 
mit. Aztán mégis feljelentés szüle- 
tett, erre a megvádoltak is feljelen- 
tették a vádlóikat, és az eset innen- 
től fogva amolyan hazai módra la- 
posodott bele a magyar valóságba, 
valódi következmények nélkül. 

A történetekben azonban meg- 
ütötte valami a fülem. A hackerek 
dolgoznak? Munkavállalóként te- 
vékenykednek cégeknél, szerveze- 
teknél? Vitapartnereim nem hagy- 
tak kétséget a felől, hogy a leg- 
több hacker átlagos dolgozóként éli 
mindennapjait. H1 állítása szerint 
ismer olyan tisztes korú hackert, 
aki egy neves bankban dolgozik fő- 
tanácsadóként, miközben a mai na- 
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pig aktív hacker is. De a frusztrált, 
elhanyagolt és alábecsült rendszer- 
gazdák közt is találhatók ilyen em- 
berek. Sőt belső körökben a közel- 
múltból is ismert olyan bizalmi po- 
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A hackerek szerint 
a legtöbb cég bárrni- 
lyen közeledésükre 
és szaktudásuk ér- 
tékbe bocsátására el- 
utasítással reagál... 


zícióban lévő biztonsági tanácsadó 
cég, amelynek munkatársa az ösz- 
szes adattal a hóna alatt távozott 
egy konkurens céghez. 


HOL HIBÁZIK A VÉDELEM? 

A hackerek véleménye egyértelmű- 
en az, hogy a védelemért felelős 
szakemberek ma alulértékeltek 
mind anyagilag, mind szakmailag. 


Az álvédelemnek és a papírpajzsok- 
nak köszönhetően a legtöbb cég 
felső vezetése biztonságban ér- 

zi magát, de ez egy kétes alapokon 
nyugvó biztonságérzet. H4 moso- 
lyogva mesélte, hogy valamelyik 
elvégzett legal hacking munká- 

ja után megkérték, oldja meg azt, 
hogy a riportot mindenképpen 
egy CISA végzettségű kolléga ír- 
ja alá. A vezetés ugyanis úgy gon- 
dolta, hogy ettől lesz majd a jelen- 
tés műszaki szempontból is meg- 
alapozott, miközben minden szak- 
ember tudja, hogy az auditor és 

a hacker a skála két ellentétes szé- 
lén szokott dolgozni. 

A védelem másik aspektusa a már 
létező biztonsági elemek hatásfo- 
ka. H3 szerint a jelenlegi vírusvé- 
delmi technológiák kezdenek el- 
avulni. , A mai vírusirtók ritkán 
találnak komoly dolgokat. Egye- 
di vírussal szemben általában te- 
hetetlenek." H4 pedig azt állítot- 
ta: , A hagyományos II-biztonsági 
eszközök sokszor védtelenek 
a profi hackerekkel szemben, akik 


mindig eltüntetik munkájuk nyo- 
mait." Ne felejtsük el, hogy tá- 
madni mindig könnyebb, mint vé- 
dekezni! 


HACKEREK ÁLTAL ÉPÍTETT VÉDELEM? 
"Tanulságos pár óra volt ezekkel a srá- 
cokkal. Mint az TII-biztonságért 
tenni akaró szakember kifejezetten 
örültem, hogy bepillanthattam 

a függöny mögé, és most talán egy 
kicsivel többet értek a hackerek 
motivációiból, gondolkodásmód- 
jából. Egyúttal rájöttem arra is, 
hogy ők sokkal inkább velünk él- 
nek, mint azt elsőre gondolnánk. 
Ki tudja, talán többet kellene fog- 
lalkoznunk ezekkel az emberekkel. 
Ha több figyelmet, pénzt, szakmai 
megbecsülést kapnának, a végén 
még ők építhetnék fel biztonságo- 
sabb védelmi rendszereinket. Akár- 
hogy is lesz, nem érdemes figyelmen 
kívül hagynunk a figyelmeztetései- 
ket. Talán éppen ezért döntöttünk 
úgy, hogy idén lesz hacking szekció 
1s az TTIBN-en (Informatikai Bizton- 
ság Napja, 2010. IX. 28-29.). 
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Kompaktlemez-gyártó Kft. 


Az APC Infrastruxure 
Central 3 méretben 
érhető el a különböző 
rendszerek igényeinek 
megfelelően 


Az informatikai rendszerek napról napra növekednek, különösen a nagy teljesítnénysűrűségű alkalmazások elterjedése óta. Ha szerver konszolidációval csökkenti a 
helyigényt és takarékoskodik az energiával, növeli a kockázati tényezőket is. Elég egy rossz mozdulat, és a hálózat megbénulhat. Az APC tudja, hogy az erőforrások 
kezelése a rendszer megfelelő működésének kulcsa. Azt is tudjuk, hogy egy menedzsment szoftver működése mindig a megfigyelt eszközök minőségétől függ. Nem 
egyszerű az üzletmenet fejlődésével lépést tartva több képernyőt ellenőrizni és adatokat feldolgozni, de szükséges. Ezért hoztuk létre az egyetlen, gyártófüggetlen 
infrastruktúra menedzsment megoldást, amely az összes adatot egy helyen teszi elérhetővé: Infrastruxure Central, Infrastruxure Change és Capacity Manager v 5. 


Lássa át teljes informatikai rendszerét... 


Az Infrastruxure Central rendszer mellé a Change és a 

Capacity Manager alkalmazást telepítve teljes áttekintést 
nyerhet informatikai rendszere felett, és előre ellenőrizheti 
az IT rendszerben tervezett változtatások hatását. 


Az Infrastruxure Central v 5 az eltérő igények kielégítése érdekében háromféle méretben áll rendelkezésre, és eddig soha nem tapasztalt módon nyújt rálátást az 
adatközpontok fizikai infrastruktúrájára. 
Ha a teljes rendszert ennyire átfogóan és ilyen mélységben ellenőrzi, akkor egyszerűen elérheti a hatékonysággal és üzemeltetéssel kapcsolatos céljait. Kapcsolja ki a 
kihasználatlan erőforrásait, kerülje el a meleg pontokat és a berendezések meghibásodását, szabadítsa fel az egyébként kihasználhatatlan kapacitásokat, és ismerje 
meg a biztonsági kockázatokat, mielőtt azok problémát okozhatnának. 


Egy szempillantás Tudja meg mennyi 
alatt megállapíthatja, energiát fogyaszt 
hogy hol érdemes az adatközpontja. 
elhelyezni a 
következő szervert, 
és hol nem. 


Válassza ÍT rendszere energiaellátásának, hűtésének, biztonságának és környezeti jellemzőinek központosított és egységes nézetét az Infrastruxure Central v 5.0 


A módosítások 
elvégzése előtt 
tanulmányozza 
azok hatásait. 


Kövesse 

nyomon eszközei 
jellemzőit és a 
berendezések fizikai — Ellenőrzése alatt tarthat több eltérő 
elhelyezkedését. sűrűségű rendszert egy szobán belül. 


A tesztek alapján a következő rendszerek működnek együtt leghatékonyabban az Infrastruxure megoldásokkal. 
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Az APC a Green Grid 


Schneider Electric y Schneider Electric Technology, " the green grid szervezet tagja 
Developer 
Töltse le az APC tanulmányát ingyenesen az elkövetkezendő 30 napban, ő 
és lehetősége lesz megnyerni egy Nintendo Wii-t! AprPC 
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